Los investigadores de seguridad del proveedor Finjan Inc. han descubierto una nueva plataforma utilizada por ciberdelincuentes para comprar y vender lotes de PCs zombi y otras herramientas utilizadas para llevar a cabo ataques.

Llamada Golden Cash, la plataforma de intercambios permite a los grandes botnets vender parte de su lote al mejor postor. Paquetes de 1,000 PCs infectadas por malware se pueden comprar desde $5 a $100, dependiendo de la ubicación, dijo Finjan.

Además de ofrecer las últimas versiones de herramientas de ataque, la red mundial se asocia con sus miembros para distribuir el robot de Golden Cash, que recoge las credenciales de FTP de sitios web legítimos a través de PCs infectadas. Finjan dice que sus investigadores fueron capaces de identificar alrededor de 100,000 dominios, incluyendo muchos de ámbito empresarial, cuyos credenciales fueron robados, permitiendo el acceso a sus servidores.

“En cuanto a la lista de ordenadores comprometidos que encontramos, es evidente que la PC de ninguna persona, empresa, o gobierno está segura”, dijo en una declaración Yuval Ben-Itzhak, jefe de tecnología de Finjan. Ben-Itzhak encabeza el Centro de Investigación de Código Malicioso (MCRC) del proveedor.

Los ciberdelincuentes han estado comprando y vendiendo botnets, servidores proxy web y herramientas de ataque en foros conocidos por actividad delictiva. Cuando el gusano Conficker alcanzó su cima a principios de año, los investigadores de seguridad advirtieron que los que estaban detrás de la infección podrían vender porciones de la misma en el mercado negro. Pero Ben-Itzhak señala que la plataforma Golden Cash es la primera red organizada de este tipo, creando socios para la distribución de sus bots e infectar más ordenadores.

La plataforma Golden Cash también incluye un centro de malware, donde los compradores pueden buscar el último software malicioso que se adapte a sus necesidades, de acuerdo con el informe de delito cibernético Finjan. El centro incluye una lista de los últimos malware y de sus lugares de descarga.

Una vez infectados, los ordenadores se ponen en un bucle continuo con los compradores usándolos para infectar a otros sitios web, robar contraseñas y otras informaciones sensibles y, por último, su puesta en reventa a través de la red de Golden Cash.

Para la gestión y la construcción de los robots de Golden Cash, los cibercriminales están usando el troyano Zalupko, según Golán Yosef, un investigador de seguridad en Finjan. En un artículo publicado en el blog MCRC de Finjan, Yosef indicó la forma en que la botnet funciona. Sus servidores de comandos y de control de seguridad permanecieron sin ser detectados de proveedores de seguridad por un período mayor de tiempo debido a que utilizan un sitio web sustituto como proxy que envía las comunicaciones de los bots desde y hacia el servidor C & C, dijo Yosef.

“De hecho, encontramos registros del troyano Zeus en el servidor C & C desde junio de 2008,” dice Yosef. “Normalmente, nos encontramos con registros que son unos 3-4 meses de edad.”

El servidor de mando y de control se encuentra en Texas. El país solicitante del registro es China. El proxy web, que crea los túneles de tráfico para el mando y control de servidor, se encuentra en Krasnodar, Rusia, Yosef dijo.