Scripting attack II. Conjunción de crimeware para obtener mayor volumen de infección

Otra técnica ampliamente utilizada por los delincuentes informáticos para atacar equipos vía web a través de scripting es la inyección de las instrucciones maliciosas en el código de la página.

En este caso, una página web alojada en un servidor vulnerado es utilizada como vector para la propagación de malware por intermedio de la explotación de vulnerabilidades en equipos desprotegidos. Algunas de las páginas empleadas son:

http://team-sleep.by .ru/default2 .html
http://team-sleep.by .ru/demo .html
http://team-sleep.by .ru/disco .html
http://team-sleep.by .ru/downloads .html
http://team-sleep.by .ru/enter .html
http://team-sleep.by .ru/gold .html
http://team-sleep.by .ru/googleanalyticsru .html
http://team-sleep.by .ru/guest .html
http://team-sleep.by .ru/guestbook .html
http://team-sleep.by .ru/media .html
http://team-sleep.by .ru/menu .html
http://team-sleep.by .ru/news .html
http://team-sleep.by .ru/photo2 .html
http://team-sleep.by .ru/poem .html
http://team-sleep.by .ru/press_reviews .html
http://team-sleep.by .ru/team-sleep .html
http://team-sleep.by .ru/wallpapers .html
http://team-sleep.by .ru/gmail .php
http://team-sleep.by .ru/haitou .php
http://team-sleep.by .ru/in .php
http://team-sleep.by .ru/xxx .php
http://team-sleep.by .ru/photo/team .html
http://team-sleep.by .ru/photo/wallz .html
http://team-sleep.by .ru/photo/live/index2 .html
http://team-sleep.by .ru/photo/live/imagepages/image1 .html
http://team-sleep.by .ru/photo/members/imagepages/image1 .html
http://team-sleep.by .ru/photo/team/imagepages/image1 .html

La lista es larga (98 páginas de un mismo sitio). Sin embargo, a través del gráfico quedan todas representadas.

Cada una de estas direcciones web son diseminadas a través de canales como el correo electrónico o clientes de mensajería instantánea empleando alguna estrategia de Ingeniería Social, y alojan varios script ofuscados que contienen diferentes exploits.

Al desofuscar los scripts, nos encontramos con el empleo de etiquetas iframe que redireccionan a otras URL's como:

• http://5rublei .com/unique/index .php
• http://tochtonenado .com/yes/index .php

Un punto sumamente interesante en relación al crimeware, nos remite directamente al concepto mismo de vulnerabilidad; es decir, el crimeware no queda exento a debilidades por fallos de diseño en su código, lo cual nos permite profundizar un poco más el conocimiento el crimeware violando su integridad.

Tal cual lo ven en la imagen, resulta que se trata del empleo en conjunto de dos conocidos crimeware, Unique Sploits Pack y YES Exploit System.

Esto demuestra que los delincuentes informáticos buscan constantemente encontrar una manera rápida y sencilla, cuanto más automatizada mejor, diferentes formas de ataque que permita aumentar las ganancias.

De esta forma, la labor "profesional" que se esconde detrás de estas actividades maliciosas donde el malware es el principal actor buscando continuamente ampliar el abanico de infecciones, los botmaster logran realizar actividades dañinas con un mayor caudal de distribución.

Información relacionada
Scripting attack. Explotación múltiple de vulnerabilidades
Explotación de vulnerabilidades a través de archivos PDF
Explotando vulnerabilidades a través de SWF
Explotación de vulnerabilidades a través de JS
Explotación masiva de vulnerabilidades a través de servidores fantasmas
Análisis esquemático de un ataque de malware basado en web
LuckySploit, la mano derecha de Zeus
Anatomía del exploit MS08-078 by FireEye

# pistus