Pushdo ataca a algunas de las principales webs mediante conexiones SSL

Más de 300 de los principales sitios web han sido objeto de ataques lanzados desde ordenadores infectados y convertidos en parte de la botnet Pushdo, según han informado varios investigadores de seguridad.

El FBI, Twitter y PayPal se encuentran entre las organizaciones cuyos sitios han resultado afectados, aunque no parece que los ataques estén diseñados para interrumpir el funcionamiento de las webs que toman como blanco, según Steven Adair, experto del grupo especializado en el seguimiento de botnets Shadowserver Foundation.
Este grupo fue advertido de la existencia de Pushdo por Joe Stewart, director de análisis de malware del fabricante SecureWorks. Pushdo, también conocida como Pandex y Cutwail, tiene unos tres años de existencia, de acuerdo con las investigaciones de Trend Micro al respecto. Los ordenadores zombis de esta botnet son utilizados para el envío de spam, aunque el malware utilizado para ello tiene también la capacidad de descargar otros códigos dañinos sobre los sistemas.
Parece que Pusho ha sido recientemente actualizada para hacer que los ordenadores infectados realicen conexiones SSL (Secure Sockets Layer) – protocolo encriptado para proteger la información intercambiada entre dos puntos- a varios sitios web.
Así, los bots empiezan creando una conexión SSL y después se desconectan, un proceso que se repite automáticamente. Servir conexiones SSL supone una carga mayor para el sitio que establecer conexiones HTTP, pero el tráfico ha sido tan esporádico que algunos grandes sitios ni siquiera se han percatado del problema, según Adair.
No obstante, se trata de un trafico significativo y su resultado en grandes sitios web es el de millones de impactos a través de cientos de miles de direcciones IP. “El problema puede ser considerable para las webs acostumbradas a recibir sólo unos pocos cientos de miles de impactos al día o que no dispongan de ancho de banda ilimitado”, advierte Adair, según quien una posible solución, aunque temporal, podría ser el cambio de las direcciones IP. Actualmente, Shadowserver Foundation trabaja para encontrar la manera de resolver el problema.


TE PUEDE INTERESAR...

Nuevo número de nuestra revista de canal 
 
DealerWorld Digital

 

Cobertura de nuestros encuentros

 

Documentos ComputerWorld



Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?