Una campaña masiva de spam con tema del medicamento Viagra ha sido descubierta y se ha encontrado que tiene 80,000 dispositivos comprometidos.

El tamaño de la operación es notable, en el curso de la investigación realizada por Incapsula, los investigadores fueros capaces de interceptar payloads con detalles de 51 sitios utilizados por spammers para vender drogas falsificadas. Estos estaban alojados en China, Malasia, Vietnam, Ucrania, Francia, Taiwan, Rusia, Indonesia, y Romania.

Trazando la IP de estos sitios, los investigadores descubrieron otros 1,005 dominios activos, presuntamente utilizado por spammers. 72.02% de estos se encuentran alojados en Rusia, y el resto en Francia.

No menos impresionante es la talla de la botnet que controla esta red de sitios comprometidos. En un periodo de 14 dias, los investigadores interceptaron comunicaciones de 86,278 IPs únicas alrededor del mundo. La firma determinó que las IPs pertenecientes a la botnet corresponden a cierto tipo de dispositivos de navegación (por ejemplo, computadoras de escritorio) que fueron comprometidas a través de un ataque en la capa de aplicación, por ejemplo, en extensiones maliciosas.

De acuerdo a Incapsula, la innovadora campaña de spam fue también construida para evitar contramedidas de seguridad.

Este malware fue programado para construir correos spam a partir de payloads enviados de manera remota que contienen parámetros específicos. Dicho malware podría decodificar estos paramentos, crear el correo spam, y enviarlo usando la función de correo del servidor SMTP del sitio. Cada payload tenía 8 capas de codificación en base64, más tres por cada parámetro separado por un pipe(|).

“Descubrimos que lo que teníamos era un ataque elaborado para saltar filtros de spam, del tipo que identifica mensajes no deseados basados en la identidad del emisor y enlaza a sitios maliciosos conocidos”, dijeron los investigadores. “El truco está en comunicar dos dominios comprometidos, uno para enviar los correos de spam y otro para redirigir a los visitantes a un sitio falso de ventas farmacéuticas. No se toma en cuenta la complejidad de ejecutar la estafa a través de sitios interconectados por medio de la red, haciendo un barrido de la inundación diaria de spam y al mismo tiempo dar servicio a la multitud de visitantes. Hacer algo como esto requiere trabajado en equipo. Basado en todo lo que se vio, no hay duda de que se trata de una operación criminal muy expandida”.

“Entre las campañas de spam, esta es una de las peores”, dijo la firma en un análisis. “Hay un modelo para el spam farmacéutico, la forma mas común de spam, que ha estado clonando bandejas de correo con anuncios de pastillas para hombres durante años”.

La estafa fue rastreada hasta sindicatos de criminales en Rusia y Ucrania, y se estima en aproximadamente 431 billones de dólares con un mercado en crecimiento. La escala de esta actividad criminal y el peligro para la salud publica de estas drogas falsificadas ha disparado las acciones de la FDA, Interpol y otras agencias.