Temos o prazer de anunciar hoje a eliminação bem sucedida da botnet Bamital. A Symantec vinha acompanhando essa botnet desde o final de 2009 e recentemente se aliou à Microsoft para identificar e desativar todos os componentes conhecidos que são vitais para o seu funcionamento.
Bamital é uma família de malware cuja principal finalidade é sequestrar resultados dos mecanismos de busca, redirecionando os cliques nesses resultados para um servidor de Comando e Controle (C&C) administrado pelo invasor. O servidor C&C redireciona esses resultados da pesquisa para sites de escolha dos invasores. A Bamital também tem a capacidade de clicar em anúncios sem a interação do usuário. Isso resulta em péssima experiência para o usuário ao usar mecanismos de busca, além de aumentar o risco de novas infecções por malware.
A Bamital apareceu no final de 2009 e evoluiu na forma de múltiplas variações ao longo dos últimos anos. A botnet se propaga principalmente por meio de downloads drive-by (que acontecem sem o consentimento do usuário) e arquivos maliciosamente modificados em redes peer-to-peer (p2p). A partir da análise de um único servidor C&C da Bamital durante um período de seis semanas em 2011, a Symantec foi capaz de identificar mais de 1,8 milhão de endereços de IP exclusivos que se comunicam com o servidor e uma média de três milhões de cliques sequestrados diariamente. Informações recentes da botnet mostram que o número de solicitações para o servidor C&C supera 1 milhão por dia.
ClickFraud, o nome usado para identificar o tipo de fraude cometido pela Bamital, é o processo realizado por um humano ou script automatizado que simula o comportamento de um usuário on-line, clicando em anúncios para fins de ganho monetário. A Bamital redirecionou usuários finais para anúncios e conteúdo que não tinham a intenção de visitar. Também gerou tráfego iniciado por não humanos para anúncios e sites com a intenção de serem remunerados por redes de anúncios. A botnet também foi responsável por redirecionar usuários para sites que vendiam malware sob o pretexto de serem softwares legítimos. O vídeo a seguir ilustra como a Bamital explora o modelo de publicidade on-line:
Default Chromeless Player
A Bamital é apenas uma das muitas botnets que utilizam o método Clickfraud para ganho monetário e para promover outras atividades criminosas na Internet. Muitos dos invasores por trás desses esquemas acham que correm pouco risco, pois muitos usuários desconhecem que seus computadores estão sendo utilizados para essas atividades. A eliminação do código manda para os criminosos uma mensagem de que as operações de Clickfraud estão sendo monitoradas e podem ser desativadas.
Para obter mais detalhes sobre as atividades da Bamital, faça o download do nosso relatório.
Detalhes sobre como se recuperar da infecção estão disponíveis aqui: http://www.norton.com/bamital. Usuários de produtos de segurança da Symantec com as definições atualizadas já estão protegidos contra a Bamital e suas variantes.
O Symantec Security Response gostaria de agradecer à Guarda Civil da Espanha, ao CERT da Catalunha (CESICAT) e à Microsoft por nos ajudarem a desvendar e, finalmente, eliminar esta botnet.