Antes a los ciberdelincuentes les valía con infectar el equipo y recopilar información contenida en este. Sin embargo, esto ya no funciona así y una vez que a un equipo se le ha instalado malware hay que conseguir que forme parte de una botnet para realizar ataques distribuidos. Cuantos más equipos mejor, y eso parecen conocerlo los propietarios de la botnet Qbot, formada actualmente por más de medio millón de equipos.
Una vez que el equipo ha sido infectado se crean varios procesos para evitar que la detección de uno por parte de cualquier herramienta de seguridad no afecte de forma negativa al control del equipo de forma remota. Expertos en seguridad estiman que el número de equipos que han sido infectados y controlados de forma remota supera en la actualidad el medio millón, pudiendo alcanzar el millón de equipos si se mantiene la tasa de infección actual.
Sin embargo, las tareas que posteriormente desempeña el equipo son muy variadas. Todo parece indicar que los equipos que forman parte de Qbot están siendo utilizados para comprometer sitios web e infectar estos con malware y crear elementos en estos para recopilar información de los usuarios.
Hackear sitios web y cambiar su apariencia para robar datos
Los equipos «secuestrados» se utilizan para realizar ataques contra sitios web y así conseguir acceder al panel de configuración. Posteriormente los ciberdelincuentes utilizan este sitio web para alojar malware y así infectar otros equipos. Sin embargo,también se ha visto como estos sitios web son modificados para alojar supuestos servicios de entidades bancarias y así conseguir el robo de los datos. Desde dar de alta tarjetas de crédito hasta sistemas falsos para recuperar la contraseñas de los servicios de banca en línea, de esta forma los ciberdelincuentes son capaces de obtener datos de los usuarios, haciendo referencia a estas páginas en mensajes spam enviados tanto a través de redes sociales como de servicios de correo electrónico.
Sobre los equipos afectados
Expertos en seguridad aclaran que la mayor parte de los equipos infectados utilizan como sistema operativo Windows XP y que se encuentran localizados en Reino Unido y países nórdicos de Europa. La alta tasa de equipos infectados haciendo uso del sistema operativo obsoleto de Microsoft podría estar provocado por la ausencia de actualizaciones de seguridad y es probable que el malware aproveche una vulnerabilidad existente para conseguir e llegar al sistema.