911 S5

¿Qué es?

911 S5 es una botnet de tipo proxy que se utiliza para crear y gestionar redes de dispositivos infectados con la finalidad de proporcionar servicios de proxy a los atacantes con los que realizar actividades maliciosas. Está compuesta por dispositivos infectados con un malware de tipo troyano backdoor, que conecta todos los dispositivos infectados en su red y proporciona puertas traseras a los atacantes para realizar actividades no legítimas distribuidas.

¿Qué hace?

Esta botnet permite a los atacantes controlar los dispositivos infectados y usarlos como puente para realizar diferentes tareas, entre las que se destacan:

• Configurar los dispositivos infectados como servidores proxy para enrutar el tráfico de los atacantes, evadir su detección y realizar ataques distribuidos.
• Acceder y robar la información de los dispositivos infectados.
• Robar la identidad de los usuarios de los dispositivos de su red para cometer delitos cibernéticos y realizar acciones ilegales a nombre de sus víctimas, como fraude financiero o tráfico de material de abuso sexual infantil, entre otros.
• Enmascarar la identidad de los atacantes para permitirles acceso a servicios restringidos y realizar actividades maliciosas.
• Cometer fraude en línea y realizar ataques automatizados.
• Realizar ataques de fuerza bruta distribuida a objetivos concretos para intentar obtener sus credenciales de acceso.
• Realizar ataques de denegación de servicio (DDoS) para saturar los recursos de un servicio y hacerlo inaccesible.
• Realizar envíos de spam y phishing mediante los recursos de las máquinas infectadas.

Sistemas afectados

Los principales sistemas operativos afectados son:

• Dispositivos con Microsoft Windows.

Igualmente, puede afectar a cualquier sistema operativo que use Internet se incluye como objetivo de sus actividades maliciosas.

¿Cómo me infecta?

Esta botnet se distribuye principalmente a través de programas de VPN gratuitas que están infectadas con el troyano backdoor que une esta red, como MaskVPN, DewVPN, PaladinVPN, ShieldVPN o ShineVPN. Además, también puede propagarse a través de la descarga de software pirata y de instaladores de aplicaciones maliciosas descargadas de fuentes no confiables, como software crackeado.

Cómo desinfectar mi equipo

Las principales firmas de antivirus tienen reglas para detectar y eliminar este malware: accede a los cleaners.

Igualmente, se recomienda que se elimine todo software no autorizado, se revisen las extensiones de los navegadores, se cambien las contraseñas y, en caso de daño severo, se reinstale el sistema operativo.

Más información

• Guidance on the 911 S5 Residential Proxy Service
• How to Identify and Remove VPN Applications That Contain 911 S5 Back Doors
• US dismantles 911 S5 botnet used for cyberattacks, arrests admin
• 911 S5 Botnet: One of largest botnets taken down by US
• Cómo la red de bots más grande de la historia robó fondos de ayuda contra el covid en EE UU