En varias oportunidades hemos abordado en nuestro Blog algunos aspectos interesantes de aplicativos web utilizados para administrar botnets a través del protocolo http, es decir, vía web, como ZeuS y AdPack.

En esta oportunidad, analizamos otro dominio que utiliza un crimeware llamado ElFiesta, que aparenta haber sido recientemente implementado si nos guiamos por el volumen de computadoras infectadas (zombis) que posee reclutadas hasta el momento.

ElFiesta, al igual que ZeuS es de origen ruso, y posee similitudes notorias con respecto al crimeware de su estilo, focalizado puntualmente en la propagación de códigos maliciosos a través de técnicas exploiting (utilizando archivos con formato PDF - Portable Document Format, y SWF - Small Web Page) y scripting (sometiendo el código a técnicas de ofuscación).

Además, a través de esta interfaz web, el botmaster (persona que administra una botnet) puede monitorear toda la información que necesita para lanzar diferentes exploits. A continuación observamos una captura donde se aprecia parte de la información estadística.


En el primero de los cuadros, se visualiza información relacionada a los acrónimos de cada uno de los países en los cuales ElFiesta ha reclutado algún zombi. En el segundo los tipos de plataformas afectadas, y en los siguientes el tipo de navegador mediante el cual se descargó el malware y, por ende, utilizan los equipos infectados.

En este sentido cabe mencionar que en el apartado correspondiente a las plataformas atacadas, el ítem “other” corresponde a sistemas operativos basados en UNIX como por ejemplo GNU/Linux y MacOS, ambos con un notable crecimiento en cuanto a utilización por parte de los usuarios.

En relación a las amenazas utilizadas por ElFiesta para reclutar zombis, todos son detectados por ESET NOD32 de manera proactiva y en su mayoría forman parte de las familias de códigos maliciosos que se identifican bajo los nombres de PDF/Exploit.Pidief y SWF/Exploit.Agent. En consecuencia, es necesario tomar todas las precauciones necesarias para evitar ser víctimas de estas amenazas.

Jorge