Kroxxu, una nueva botnet que amenaza a millones de usuarios

La botnet Kroxxu se ha diseñado únicamente para robar contraseñas FTP y se extiende fundamentalmente a través de páginas web infectadas.

Los expertos en seguridad han descubierto una nueva botnet que ya ha infectado a unos 100.000 dominios y un millón de sistemas en todo el mundo, aunque por el momento no está claro cómo los cibercriminales están haciendo dinero con él.

La botnet Kroxxu se ha diseñado únicamente para robar contraseñas FTP pero, a diferencia de los botnets tradicionales, se expande a través de páginas web infectadas más que a través de ordenadores individuales. Al menos es lo que aseguran los investigadores de Avast Software, que han estado haciendo un seguimiento de la botnet desde hace casi un año.

Las contraseñas robadas permiten al creador de Kroxxu añadir una etiqueta script al contenido original de la página web que después permite cargar y modificar archivos en servidores infectados y extenderse a otros servidores globalmente.

El malware trata de redirigirse constantemente para ofuscarse mientras que varios componentes de la red son capaces de ejecutar diferentes tareas; es lo que se conoce como “infección indirecta cruzada”.

Lo que no han descubierto los investigadores de Avast es cómo están haciendo dinero los organizadores de la botnet, aunque suponen que podrían estar vendiendo las contraseñas robadas o el espacio hackeado en los ordenadores infectados.

La botnet Kroxxu ha infectado 1.000 dominios cada mes desde que fue descubierta en octubre de 2009. Infectando páginas web legítimas la botnet podría tener un impacto serio en el éxito de las aplicaciones encargadas de bloquear URL que se consideran fraudulentas.