Bamital es una familia de malware cuyo objetivo principal es secuestrar resultados de motores de búsqueda, redireccionando clics sobre estos resultados a un servidor de comando y control (C&C) controlado por un atacante. El servidor C&C redirecciona estos resultados de búsqueda a sitios web que eligen los atacantes. Bamital también tiene la capacidad de hacer clic sobre publicidades sin interacción del usuario. El resultado de esto es una mala experiencia de usuario al utilizar motores de búsqueda, junto con un mayor riesgo de sufrir infecciones de malware adicionales.
El origen de Bamital puede remitirse a finales de 2009. El malware ha evolucionado a través de múltiples variaciones durante el último par de años. Bamital se ha propagado principalmente mediante descargas desde sitios web legítimos y archivos modificados maliciosamente en redes peer-to-peer (p2p). A partir del análisis de un solo servidor Bamital C&C durante un período de seis semanas en 2011, pudimos identificar más de 1.8 millones de direcciones IP exclusivas que se comunicaban con el servidor, y un promedio de tres millones de clics secuestrados por día. Información reciente de la botnet muestra que el número de solicitudes que llegan al servidor C&C supera ampliamente un millón por día (ver figura 1).
Figura 1. Distribución geográfica de las infecciones. Septiembre, 2011
“Fraude por clic” (clickfraud), el nombre utilizado para denominar el tipo de fraude cometido por Bamital, es el proceso de un humano o script automatizado que imita la conducta del usuario en línea y hace clic sobre publicidades online para obtener una ganancia monetaria. Bamital redireccionó usuarios finales a anuncios y contenido que no tenían intención de visitar. Asimismo, generó tráfico no humano en anuncios y sitios web con la intención de recibir pagos de las redes de publicidad. Bamital también fue responsable de redireccionar usuarios hacia sitios web que trafican malware bajo la apariencia de software legítimo. El siguiente video ilustra el modo en que Bamital explota el modelo de publicidad online:
Bamital es solo una de muchas botnets o redes bot que utilizan el fraude por clic para ganar dinero y fomentar otras actividades relacionadas con el delito cibernético. Muchos de los atacantes detrás de estos esquemas sienten que el riesgo es bajo porque muchos usuarios desconocen que sus computadoras se están utilizando para este fin. Este desmantelamiento les envía un mensaje a esos atacantes: que las operaciones de fraude por clic están siendo monitoreadas y pueden desconectarlos.
Para obtener más detalles sobre las actividades de Bamital, puede descargar una copia del informe de Symantec.
Para encontrar detalles sobre cómo recuperarse de la infección, visite: www.norton.com/bamital
