quinta-feira, junho 25, 2009

Alugue um Botnet: Nunca foi tão fácil enviar spam

Alugue um Botnet: Nunca foi tão fácil enviar spam

O botnet Storm foi vinculado à Russian Business Network (RBN) que opera em São Petersburgo, na Rússia. Já há algum tempo a RBN é associada a vários crimes digitais, tais como spam, ataques de negação de serviço distribuídos (DDoS), phishing, pornografia infantil, roubo de identidade e extorsões. O provedor de malware também é conhecido por fornecer "hospedagem web à prova de bala" para outros criminosos digitais. Como o Storm, parece que o Pushdo procede da Rússia e é vinculado à área de Moscou.

Da mesma maneira que outros botnets, o componente que dissemina spam do Pushdo, conhecido como Cutwail, envia spam em ondas, cada vez propagandeando um serviço em particular. Normalmente, entre eles se inclui pornografia e fármacos, mas quando pesquisadores da Trend Micro notaram propaganda de classe de dança e serviços de construção, decidiram pesquisar mais detidamente o modelo de negócio da botnet.

Exemplo de precificação do spam Pushdo por região

Os pesquisadores da Trend Micro contataram a gangue por telefone se passando por um potencial cliente desejando comprar serviços de spam. Os dados de contato são fáceis de obter em um dos spams de autopromoção - nesse caso, um número de ICQ e uma linha telefônica direta registrada em Moscou. Os pesquisadores fizeram duas chamas distintas - primeiro, passando-se por um indivíduo querendo divulgar um site erótico e, depois, perguntando do custo da propaganda de serviços de transporte.

Aparentemente, a gangue criminosa por trás do Pushdo oferece "serviços de propaganda local". Por míseros 100 euros, uma empresa pode atingir milhões de endereços de e-mail em uma área específica, como Moscou, São Petersburgo ou o país de sua escolha (veja tabela acima). Os operadores do Pushdo são muito solícitos, fornecem um link para os preços e, em seguida, os detalhes da conta bancária, chegando até a se oferecer para retirar o dinheiro pessoalmente. Eles também ofertam serviços gratuitos de design de sites para aumentar a taxa de sucesso das campanhas de e-mail, além de se oferecer para configurar os "serviços de propaganda por e-mail" de forma a evitar as assinaturas antispam. Dentro do pacote, os operadores do Pushdo prometem fornecer recibos oficiais para provar às autoridades fiscais que o dinheiro foi gasto com propaganda.

Quando os pesquisadores da Trend Micro expressaram preocupações quanto às questões legais envolvidas no envio de milhões de e-mails não solicitados, eles garantiram que a prática não é ilegal, pelo menos não na Rússia. Os representantes do Pushdo disseram que, embora seja proibido exibir sem permissão uma propaganda em um outdoor, o spam não é ilegal - é "apenas e-mail". É verdade que as leis que governam o e-mail não solicitado são muito mais fracas na Rússia e em outros países.

As evidências apontam para Moscou, já que a sede da Pushdo e todos os números de contato são daquela área. Os endereços IP dos servidores de comando e controle do Pushdo parecem estar dispersos entre vários países, mas a maioria dos sites, incluindo o site usado para anunciar os preços, são números registrados para Moscou. Os pesquisadores da Trend Micro encontraram uma grande lista de sites clandestinos usando os mesmos servidores de nomes (servidores de DNS) do que os usados pelo Pushdo. Embora pareça que esses sites não estejam todos associados à gangue Pushdo, eles realizam atividades similares (enviar spam, hospedagem "à prova de bala", pornografia, etc.). É claro que o dono desse servidor de nome é outra peça-chave no submundo do malware russo.

Nenhum comentário: