Campaña de propagación de Koobface a través de Blogspot
Una masiva campaña de propagación del gusano koobface se encuentra In-the-Wild utilizando como estrategia blogs generados desde el servicio Blogspot.
Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad.
Los dominios de blogspot empleados como cobertura para la propagación son:
Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad.
Los dominios de blogspot empleados como cobertura para la propagación son:
pannullonumair.blogspot.com
haladynalatosha.blogspot.com
macdougalmuskan.blogspot.com
mailletjamaica.blogspot.com
ledrewrooney.blogspot.com
brasenoktayoktay.blogspot.com
toludestany.blogspot.com
edgarbillison.blogspot.com
piotrowiczlyanne.blogspot.com
brochoiredeedee.blogspot.com
decuyperantohny.blogspot.com
derrenpassini.blogspot.com
elsenelsenumthun.blogspot.com
elsyelsysalah.blogspot.com
fanjonappuappu.blogspot.com
fredrikadantos.blogspot.com
genelleabril.blogspot.com
gilkerharjyot.blogspot.com
hadzilashawn.blogspot.com
insalacotecwyn.blogspot.com
janitasaels.blogspot.com
jodelinscheufler.blogspot.com
jones-allentammey.blogspot.com
jurgisbooty.blogspot.com
karanjeetisoardi.blogspot.com
dralleboyeboye.blogspot.com
maidenhermann.blogspot.com
messer-bustamantetimpriss.blogspot.com
murachaniananoushka.blogspot.com
nevnevsculthorpe.blogspot.com
parrisvistisen.blogspot.com
porierkunlekunle.blogspot.com
rotermundraimon.blogspot.com
sharonyacorvil.blogspot.com
sodorabardan.blogspot.com
tendaiblunk.blogspot.com
turskeybrianna.blogspot.com
zhuochengbate-pelletier.blogspot.com
ziziziziboyter.blogspot.com
Quien accede a alguno de estos dominios es redireccionado a una página que simula la típica pantalla de YouTube. A continuación vemos una captura.
Inmediatamente después, se intenta descargar un binario llamado "setup.exe" (md5 6d8ac41c64137c91939cced16cb5f2fe) que posee una tasa de detección media baja. Este binario, a su vez se encarga de descargar y ejecutar otros códigos maliciosos.
v2prx.exe (36/41 - 87.80%)- go.exe (7/41 - 17.07%)
- fb.75.exe (22/41 - 53.66%)
- v2newblogger.exe (36/41 - 87.80%)
- v2captcha.exe (39/41 - 95.12%)
- v2googlecheck.exe (40/41 - 97.56%)
El binario v2captcha.exe se encarga de romper el captcha que solicita blogspot para el registro de blogs, creando de manera aleatoria y masiva los mismos, y redireccionando luego a la descarga de koobface a través de, como lo mencioné en un principio, una falsa página de YouTube que utiliza la misma estrategia de ingeniería social visual utilizada en otras campañas de propagación similares.
Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus.
Información relacionada
Simbiosis del malware actual. Koobface
Jorge Mieres
Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus.
Información relacionada
Simbiosis del malware actual. Koobface
Jorge Mieres
2 comentarios:
Check out the link below for some additional domains utilizing the /.sys/ format found to be distributing Koobface
http://malc0de.com/tools/db.php?search=%2F.sys%2F
Cheers
Hi bro! thank you very much for the information. Personally I like the work they are doing in Malc0ode ;P
Publicar un comentario