En tres meses se registraron 2,5 millones de solicitudes de IP únicas, lo cual nunca son buenas noticias

Buenos Aires-(Nomyc)-Ahora bien, al quitar de la ecuación al C&C ya no había nadie que controlara el malware, por lo que había dejado de ser una amenaza, pero solo una parte de este programa malicioso ya no era un problema del qué preocuparse, porque otra parte seguía muy activa.

Esto es lo que comprobaron los investigadores de Sekoia, que tomaron el control del C&C para evitar que alguien pudiera revivir la variante de PlugX y, sobre todo, para obtener datos adicionales de su funcionamiento.

El análisis de un host infectado permitió identificar a qué dirección IP se conectaba el malware, que era precisamente la dirección IP del servidor de comando y control. Dado que esa IP estaba disponible, Sekoia hizo un pequeño desembolso de dinero para administrarla.

Una vez completado este paso, los investigadores descubrieron que entre 90 y 100 mil direcciones IP únicas envían solicitudes diarias al antiguo C&C de la variante de PlugX, por lo que en tres meses se registraron 2,5 millones de solicitudes de IP únicas, lo que sorprendió a los investigadores.

Como se sabe, es difícil identificar la cantidad de computadoras infectados en base a esta información, pero se puede hacer una aproximación, ya que los expertos creen que el gusano sigue propagándose y está activo en posiblemente millones de dispositivos, ya que el gusano, por su esencia, siguió funcionando en “piloto automático” y aunque la botnet “está desmantelada”, los investigadores advierten que “cualquier persona con capacidades de interceptación podría enviar comandos arbitrarios a los hosts infectados para revivirlo”.

Frente a este escenario, Sekoia descubrió que es posible utilizar el C&C para neutralizar de manera completa la amenaza, tanto en los equipos comprometidos, como en las unidades USB, aunque es una posibilidad técnica que no ha sido puesta en práctica en la realidad.

Nomyc-30-4-24