Los estafadores usan sitios pirateados de WordPress y Joomla para enviar cantidades masivas de correo no deseado utilizando una estructura compleja de botnet repartida en siete capas de servidor diferentes.
La botnet es conocida por las empresas de seguridad desde 2014, pero en su versión más reciente, a pesar de ser más pequeña que su versión anterior, la botnet es más difícil de identificar.
La primera empresa de seguridad en descubrir algo sospechoso fue Symantec en 2014, cuando los ingenieros de la empresa encontraron el malware Spalooki en servidores Linux comprometidos, que, según afirmaron, estaban siendo utilizados en algún tipo de operación de spam.
Han salido a la luz más detalles gracias a un informe SIRT de Akamai publicado en noviembre de 2015, que detallaba las operaciones de una botnet de 83 000 personas llamada Torte. Akamai dijo que los estafadores comprometen los sitios de WordPress y Joomla a través de complementos y temas vulnerables, y los usan para enviar spam.
Torte botnet resurge como SpamTorte con infraestructura mejorada
En un informe publicado esta semana, la empresa estadounidense de ciberseguridad Verint afirma haber descubierto una versión más nueva y mejorada de la botnet Torte, a la que han llamado SpamTorte, que actualmente consta de solo unos pocos miles de bots.
En su informe de 2015, Akamai describió que la botnet Torte utiliza una estructura de cuatro capas para realizar operaciones de spam. Verint cube que la variante SpamTorte más nueva y mejorada utiliza un sistema de siete capas, con el servidor C&C en la parte superior, una capa de servidores de ensamblaje debajo y cinco capas de servidor para almacenar datos de campañas de spam en curso.
Verint proporcionó la imagen de arriba para describir el proceso de infección. Todas las operaciones comienzan cuando los delincuentes encuentran instalaciones vulnerables de WordPress y Joomla CMS que pueden piratear explotando varias vulnerabilidades.
Los operadores de botnets solo están interesados en servidores Linux e ignoran por completo los sistemas Home windows. Se admiten los sistemas de 32 y 64 bits.
Los servidores de ensamblaje utilizados recopilan mensajes de spam
Una vez que infectan un servidor, el primer paso es crear un trabajo cron que descargue y vuelva a descargar un binario ELF malicioso desde un servidor de «nivel superior». Las descargas repetidas actúan como un sistema de actualización automática en caso de que el autor del malware quiera actualizar sus bots.
Una vez que el malware ELF se descarga e instala, se comunicará con los servidores de «segundo nivel», que le proporcionarán una colección de plantillas de correo electrónico.
La misma operación se repite contactando con servidores de «tercer nivel», que proporcionarán al malware una lista de direcciones de correo electrónico.
El siguiente paso es ponerse en contacto con los servidores de «cuarto nivel», que responden con una lista de URL que deben insertarse en las plantillas de correo electrónico, junto con una identificación de campaña para que los operadores de botnet puedan rastrear diferentes ejecuciones de spam.
El paso last es ensamblar las plantillas de correo electrónico y enviarlas como texto base64 y XOR a servidores de «quinto nivel» donde los operadores de botnet han instalado scripts de correo electrónico de antemano que se encargan de «enviar spam actual».
Crimson de bots SpamTorte explotada para spam adulto y farmacéutico
Todos estos servidores, distribuidos en diferentes niveles, son sitios de WordPress y Joomla pirateados. Verint cube que ha detectado la pink de bots SpamTorte que envía spam a varios sitios farmacéuticos y para adultos.
Aunque la botnet no es tan masiva como la primera versión que vio Akamai en 2015, debido a que está mejor compartimentada, es más difícil de identificar y eliminar.
«Es bastante sorprendente que una operación de spam tan grande siga activa, pero la estructura en capas de la pink de bots proporciona una buena cobertura», escribió el equipo de Verint en un informe sobre las actividades de SppamTorte. «Mientras que los remitentes están bloqueados y en la lista negra, los servidores de C&C permanecen encubiertos e intactos».