MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

1.3.09

Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual

Las estrategias de engaño a través de Ingeniería Social visual como lo son los casos en que se simula la visualización de videos en línea y se intenta descargar malware bajo la cobertura de la falta del códec necesario, se han transformado en moneda corriente y casi una regla que debería tener presente el usuario para escapar de una potencial infección.

En otra oportunidad les contaba cómo el scareware IE Defender empleaba una campaña similar para propagar su instalador utilizando la misma estrategia de engaño. En esta oportunidad, el turno de explotar esta técnica es para XP Police 2009.


Todos los dominios que involucran la campaña direccionan hacia http://sexybabes18 .com/video/ bajo la dirección IP 84.243.197.10. En esta instancia se descarga un archivo binario llamado install.exe (MD5: 6ba25f5f8ed91db92305f92beef1fe84) desde el sitio web de XP Police 2009.

Al acceder a la página web del scareware, que utiliza las direcciones IPs 213.163.65.10, 213.163.65.10 y 206.125.44.28, podemos comprobar que el archivo que se descarga es el mismo.

Los dominios actualmente explotados por XP Police 2009:


xp-police-09 .com
xp-police-antivirus .com

xp-police-engine .com
xp-police .com

xp-police-2009 .com

xp-police-av .com

mail.xp-police-antivirus .com

ns1.xp-police .com

ns2.xp-police .com

ns3.xp-police .com

ns4.xp-police .com

www.xp-police-09 .com

www.xp-police-antivirus .com

www.xp-police-av .com

www.xp-police-engine .com


Esta técnica de ataque se encuentra activamente explotada por uno de los tantos scareware que existen, con lo que cabe la posibilidad de que veamos más falsos programas de seguridad empleando esta estrategia.

Información relacionada
Nueva estrategia de IS para diseminar scareware

Una recorrida por los últimos scareware III


# pistus

0 comentarios: