MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

13.2.10

Ingeniería Social explotando juegos olímpicos 2010

Como es habitual, las técnicas de Ingeniería Social constituyen un patrón fundamental para los ataques de cualquier índole y magnitud.

Bajo esta perspectiva, cualquier noticia que cubra en pocos minutos los medios de información más importantes a nivel global, o cualquier evento cuya trascendencia sea conocida por las personas de cualquier parte del mundo, constituye un objeto en potencia para explotar su imagen de forma fraudulenta con la intención de diseminar malware.

Los juegos olímpicos 2010 a desarrollarse en la cuidad canadiense de Vancouver, constituyen uno de esos eventos en los cuales los profesionales de seguridad agudizan sus sentidos porque saben perfectamente que encontrarán alguna campaña de propagación que utiliza como excusa este evento.

Bajo esta premisa, ya se comenzaron a descubrir los primeros indicios. En este caso, se trata de un sitio web exclusivamente creado para propagar malware, y cuya visual es muy similar a la página real de los juegos olímpicos 2010.

A continuación podemos visualizar una captura de la página real y falsa respectivamente, donde se observa que además de la estrategia de Ingeniería Social visual empleada, una parte importante del engaño radica en el nombre de dominio, a saber:

Página web real - http://www.vancouver2010.com
Página web falsa - http://vaucouver2010.com
En esta instancia, cuando el usuario accede a la página falsa, en lugar de visualizar de forma automática el video de presentación, se encuentra con el supuesto error en el plugin de flash, ofreciendo la descarga de un binario llamado flash-plugin_update.45125 (MD5:45E21E0CDA8D456B26D1808D4ACB76B0) que es un malware con una tasa de detección muy baja.

La web se encuentra alojada en un ISP alemán, en la dirección IP 188.40.84.202. Sin embargo, el ejecutable es descargado desde electricmediadata.com (67.15.47.189) alojado en ThePlanet bajo el ASN21844; identificado como:
  • Botnet C&C servers
  • Phihing servers
  • Spam servers
  • Malware servers


Aunque este escenario, en la actualidad no sorprende a nadie, ya que es bien sabido que en los procesos de propagación/infección siempre existe una cuota importante de engaño, la tasa de infección por malware que durante su etapa inicial de propagación emplea como vector ingeniería social, sigue siendo muy alto.

Esto conlleva a dos cuestionamientos para nada triviales. Por un lado, las técnicas de Ingeniería Social son un condimento clave para los procesos de diseminación que no pasa de moda; y por el otro, en función de esto y, sobre todo teniendo en cuenta su alto impacto en cuanto a nivel de efectividad, todo parece indicar que existe una cultura muy pobre en materia de prevención, o es que ¿simplemente los procesos de concientización no alcanzan?

Información relacionada
Ingeniería Social visual para la propagación de malware
Técnicas de engaño que no pasan de moda
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección

Jorge Mieres

0 comentarios: