En una operación llamada "Operation Ghost Click" (Operación Clic Fantasma), el FBI, junto con Trend Micro y otros socios de la industria, llevó a cabo el desmantelamiento de una red de 4 millones de bots que se mantuvo viva por largo tiempo y que infectó a millones de usuarios en todo el mundo. Los bots permitían a los criminales controlar la industria multimillonaria de publicidad por internet sin que los usuarios estuvieran concientes de que sus computadoras habían sido comprometidas.
Los detalles de la operación se han hecho públicos, revelando una larga lucha de dos años por rastrear a los operadores de la red, que concluyó en una decomisación de dos centros de datos ubicados en la ciudad de Nueva York y Chicago con más de 100 servidores en operación, además del arrresto de seis ciudadanos de Estonia, que han sido puestos bajo arresto y culpados de operar un sofisticado anillo de fraude por internet que comenzó desde 2006, según informa Trend Micro.
El cyber anillo utilizaba un malware llamado DNSChanger para infectar a cerca de 4 millones de ordenadores en más de 100 países. En Estados Unidos hubo aproximadamente medio millón de infecciones, incluyendo ordenadores pertenecientes a individuos, negocios y agencias gubernamentales como la NASA. Los criminales fueron capaces de manipular la publicidad por internet para obtener al menos $14 millones de dólares en honorarios ilícitos. En algunos casos, el malware tenía el efecto adicional de prevenir que el software antivirus y el sistema operativo del usuario fuera acutalizado, exponiendo al ordenador a más infecciones de software malicioso.
El malware se anidaba en un servicio crítico de internet, DNS (Domain Name System, por sus siglas en inglés), encargado de convertir las direcciones IP numéricas en nombres fácilmente utilizables por los usuarios. DNSChanger era usado para redireccionar a los usuarios a servidores controlados por criminales, permitiéndoles controlar la actividad web del usuario. Cuando los usuarios con el malware hacían clic en una liga de un sitio oficial de por ejemplo, iTunes, eran llevados en cambio a un sitio no afiliado con Apple que supuestamente vendía software de la firma californiana. Los criminales hacían dinero con estas redirecciones, además de privar a operadores web y publicistas legítimos de ganancias substanciales.
Las autoridades del FBI buscan extraditar a los seis criminales detenidos para que sean sentenciados por autoridades de Estados Unidos. Como parte de un orden de una corte federal, los servidores maliciosos han sido reemplazados por servidores legitimos con la esperanza de que los usuarios que fueron infectados no pierdan su acceso a internet.
Pese a la limpieza de servidores maliciosos en varios lugares del mundo, la operación no eliminará el malware DNSChanger de las computadoras infectadas. Los usuarios que crean que sus computadores puedan estar infectadas deben de acudir con un profesional de computacion para deshacerse del malware, advirtió el FBI en un comunicado, además de proveer un portal dentro de su página para que los usuarios se registren como víctimas del malware.
