MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

24.6.10

Estado del arte en Eleonore Exploit Pack II

Sin lugar a dudas el crimeware del tipo exploit pack y malware kit, ya sea estos de propósito general, como por ejemplo ZeuS; o de propósito particular como RussKill, se han convertido en la creme de la creme de los delitos informáticos y sinónimo de economía fácil para los ciberdelincuentes.

En función de esto, uno de los crimeware con mayor crecimiento durante los últimos seis meses es Eleonore Exploit Pack. Actualmente se encuentra en boca de muchos aspirantes a ciberdelincuentes que lo utilizan y profesionales de seguridad que han notado su impacto dentro del escenario delictivo debido a su captación cada vez progresiva de adeptos, lo cual justifica el motivo de investigación.

A principios de año dábamos a conocer la manera en que el desarrollador de esta aplicación web fue lanzando las diferentes versiones del crimeware y desde la última versión de ese entonces (1.3.2) hasta la actual (1.4.1) las cosas han cambiado un poco.


Lo cierto es que, como se aprecia en la imagen, la cobertura de ataque abarca un importante número de sistemas operativos, un aspecto que también se ha transformado en una tendencia para algunos exploits pack, como el caso de Siberia Exploit Pack, que hasta incluso comparte un gusto similar con este en cuento a diseño.

Pero repasemos nuevamente la cronología de la aparición de sus diferentes versiones:

La base de esta botnet se encuentra alojada en EEUU, con el proveedor Secured Private Network bajo el ASN22298, el mismo que también hospeda malware del tipo rogue, fakeAV, algunos otros troyanos, variantes de ZeuS, hasta algunas familias de Koobface; y mantenido por los servicios de la empresa QuadraNet comandada por un spammer israelí llamado Ilan Mishan, también muy conocido en el ambiente delictivo por dar los recursos necesarios de hosting para alojar actividades de spam, scam, phishing, pornografía, entre ellos, a través de otras empresas como OC-3 Networks y PacificRack aglomeradas bajo QuadraNet.




A pesar de contar con el C&C en EEUU, la mayor tasa de actividad se encuentra en Europa Oriental, exactamente en Ucrania donde posee la mayor cantidad de computadoras cuya seguridad ha sido vulnerada a través de alguno de los diferentes exploits que se diseminan con Eleonore Exploit Pack.


Por otro lado, es interesante conocer las páginas web a través de las cuales se referencia a los exploits pre-compilados de Eleonore. Las listas suelen ser muy largas y bastante variadas entre temáticas, donde se suelen caracterizar las páginas que poseen contenido de sexo explícito, propagación de FakeAV, casinos y farmacias online, entre otros.

También, otra íntimamente ligada con el escenario que representa el negocio de estas actividades delictivas: los programas de afiliados. En este caso, se promociona uno destinado a la compra de tráfico web, donde el eje del negocio es obtener dinero a través de la publicidad inyectada en páginas web y mostrada en ventanas popups.

Información relacionada
Nueva versión de Eleonore Exploits Pack In-the-Wild
Campaña de phishing orientada a jugadores de Zynga

0 comentarios: