MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

30.8.10

FakeAV a través de nueva estrategia de engaño desde BKCNET "SIA" IZZI

Generalmente las estrategias de engaño diseñadas para la diseminación de falsos antivirus (AV Rogue) consisten en la simulación online de un escaneo en busca de malware, mostrando una interfaz que imita el explorador de Windows y en el cual siempre se encuentran las mismas amenazas, incluso cuando se emplean sistemas operativos diferentes a Windows.

Estrategia de engaño convencional
Este es uno de los tantos templates. Se muestra un supuesto escaneo para verificar la integridad del equipo con una interfaz que simula estar bajo el explorador de Windows

Sin embargo, recientemente se puso en marcha una nueva estrategia de similares características pero recurriendo a una maniobra diferente que consiste en mostrar un video real mientras se produce, el supuesto escaneo. Esto se muestra bajo la leyenda "Scan in progress. Please wait".

Nueva estrategia de engaño
Se muestra un video real mientras el tráfico es direccionado hacia un falso reporte con la detección de una amenaza


Mientra se reproduce el video, el tráfico es direccionado hacia otra página en la cual se muestra información sobre supuestas amenazas encontradas luego del escaneo. En esta instancia, supuestamente la información es provista por varios motores antivirus que se listan de forma estratégica mostrando información relacionada a la detección.
 Falso reporte
Según el escaneo se ha detectado malware en el sistema. Así se busca intimar a los usuarios a través del falso reporte con información de varios motores antivirus

Casualmente, cada uno de los "productos" antivirus que detectan supuesta actividad de malware provee la posibilidad de descargar la aplicación que solucionará el problema:
Tanto al comenzar como al finalizar el video, se muestra la leyenda "Protect your privacy! Use only licensed software!". Esto contiene un alto impacto de acción psicológica sobre el usuario quien "se entretiene" mirando un video sobre el robo de datos para luego leer la "recomendación".

Protect your privacy!
Estrategia de acción psicológica que busca provocar un efecto persuasivo sobre el usuario para que luego compre el rogue


Esta estrategia está siendo canalizada a través del AS6851, más conocido como BKCNET "SIA" IZZI o SAGADE. BKCNET "SIA" IZZI  sirve de "repositorio" para promocionar diferentes actividades delictivas y dar cobertura para el alojamiento de botnets y otros crimeware como Koobface, ZeuS, Phoenix Exploit’s Kit, BOMBA, entre otros, además de algunos afiliados de negocio del tipo Pay-per-Install. En este caso, resolviendo desde la dirección IP. 85.234.191.173.

En el equipo se termina instalando un rogue llamado AntiSpy Safeguard que mientras dura su escaneo inicial bloquea el acceso a los recursos del sistema operativo. El objetivo final del rogue es, como habitualmente sucede, lograr que se termine comprando la aplicación maliciosa.

Compra del rogue
Estás páginas generalmente se encuentran bajo la cobertura de servicios legales, y es mediante la cual el delincuente obtiene dinero por la venta de rogue y datos de las tarjetas de crédito


Con esta maniobra el delincuente, o programa de afiliado, se asegura, por un lado un porcentaje de dinero por el costo del rogue; y por el otro, alimentar su base de datos con información de la tarjeta de crédito que luego es comercializado en el mercado negro a costos variables directamente proporcionales al tipo de tarjeta de crédito.

Información relacionada

Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI
Campaña de infección a través de Phoenix Exploit’s Pack
Circuito de Koobface desde 91.188.59.10 (BKCNET "SIA" IZZI)
BOMBA Botnet. Nueva alternativa delictiva alimentando la economía del crimeware
Phoenix Exploit's Kit and Pay-per-Install via PC Defender Antivirus

Ver más

18.8.10

Estado del arte en Phoenix Exploit's Kit

Las alternativas delictivas crecen muy rápidamente dentro de un ecosistema donde día a día se gestan oportunidades de negocios por intermedio de procesos fraudulentos. En este sentido, la demanda de recursos delictivos para los ciberdelincuentes no se hace esperar y crece constantemente.

Generalmente aparecen nuevos crimeware que buscan obtener un lugar y buena aceptación en las calles virtuales del mundo underground, intentando reflejar un equilibrio en torno al costo/beneficio del "producto" promocionado, que les permita a los delincuentes insertarse en el mercado lo más rápida posible.

Del mismo modo, crimeware ya aceptado en el circuito y muy conocido se actualizan buscando optimizar su “calidad de servicio”. Phoenix Exploit’s Kit, a pesar de su estado minimalista frente a otros de su estilo, es uno de los crimeware con más actividad maliciosa en la actualidad.

El presente artículo expone una serie de datos respecto a las actividades delictivas y fraudulentas llevadas a cabo empleando Phoenix Exploit’s Kit como canal de gestión, cómo es habitualmente el ciclo de negocio delictivo en torno a este crimeware y cuáles son los exploits presentes en sus diferentes versiones.

Phoenix Exploit’s Kit v2.3r
Phoenix Exploit’s Kit v2.3
Phoenix Exploit’s Kit v2.21
Phoenix Exploit’s Kit v2.2
Phoenix Exploit’s Kit v2.1
Phoenix Exploit’s Kit v2.0
Phoenix Exploit’s Kit v1.4
Phoenix Exploit’s Kit v1.31
Phoenix Exploit’s Kit v1.3
Phoenix Exploit’s Kit v1.2
Phoenix Exploit’s Kit v1.1
Phoenix Exploit’s Kit v1.0
Phoenix Exploit’s Kit v1.0beta

Versión en español | Versión en inglés

Otros artículos de MalwareIntelligence

Ver más

16.8.10

Pirated Edition. Programa de afiliados Pay-per-Install

Los programas de afiliados constituyen un modelo de negocio cada vez más redituable para los delincuentes, además de crear un completo circuito de propagación/infección de malware entre muchas otras alternativas, incentivando a sus clientes con un porcentaje de dinero que obtienen en función del éxito en su propio negocio.

Uno de los sistemas con mayor captación en este modelo de negocio lo constituye el pago por instalación, Pay-per-Install, donde cada cliente obtiene el dinero por la instalación de un malware. Es decir, solamente por propagar malware y esperar que alguien se infecte.

Bajo este circuito, cada afiliado puede ser tanto una sola persona como una botnet, ya que evidentemente el rédito económico que generan los delincuentes diseminando el malware proporcionado por el sistema de afiliados se masifica, y el botmaster se beneficia con una diferencia económica más amplia dentro de un lapso de tiempo más corto, además de las otras vetas económicamente fraudulentas que se generan a través de botnets.

Otro de estos programas de afiliados es Pirated Edition, cuya panel de acceso podemos observar en la siguiente imagen.


Mirando dentro del sistema de afiliados, nos encontramos con un modelo extremadamente minimalista que sólo le permite al delincuente-cliente chequear la cantidad de dinero ganado y descargar el malware a propagar, incluyendo las actualizaciones de este.


Este código malicioso, cuyo nombre por defecto es limew.exe (757eda0929b94ea104a1a80825dee3e2) posee una tasa de detección muy baja. Según el reporte de VT, sólo es detectado por 8 de los 41 motores AV.

Cuando se ejecuta, se reporta al verdadero programa de afiliados que se esconde detrás de este circuito delictivo que, en este caso, responde a husseta.com.


/get2.php?c=ROBFNNDI&d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
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
Host: 011607da0826.husseta.com
Cache-Control: no-cache


Sin embargo, esta es sólo una de las caras que presenta la estrategia ya que en la misma IP (95.211.98.246) se resuelven otros dominios que cada uno de ellos lleva el mismo template.


010407da082d.deanard.com
082707d91010.bauhath.com
100407da083b.leyeshv.com
110407da0837.giselin.com
110507da031e.bauhath.com
111607da0732.giselin.com
131907da0726.deanard.com
142007da0712.weirden.com
142107da071c.giselin.com
151707da052e.antiona.com
160607d9110b.bauhath.com
161607da0722.leyeshv.com
162507da0612.mccorbet.com
171907da062d.bourgum.com
172307da072e.koralda.com
180507da0308.bauhath.com
181607da031b.derchy.com
182707da0130.bauhath.com
192507da071b.dativism.com
210907da020b.bauhath.com
222707d9101f.bourgum.com
222807d9092a.apomenbe.com

Vale aclarar un detalle particular de las políticas de este programa de afiliados. Para obtener el pago por cada instalación del malware, este debe infectar equipos que se encuentren en los siguientes países: Australia, Belgium, Brazil, Canada, Czech Republic, Denmark, Estonia, France, Germany, Greece, Finland, Hungary, Italy, Ireland, Kuwait, Lithuania, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Romania, Russia, Saudi Arabia, Singapore, Slovakia, Spain, Sweden, Switzerland, Turkey, Ukraine, United Arab Emirates, United Kingdom, United States and Japan. Y como sistema de pago se utilizan los servicios de Epassporte, AlertPay, PayPal y Webmoney.

Información relacionada
Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI

Ver más

11.8.10

Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI

Uno de los negocios más redituables en el ámbito informático delictivo, lo constituyen los programas de afiliados. Estos son sistemas a los cuales los delincuentes se adhieren para obtener un rédito económico en concepto de comisión, como en este caso, por cada instalación exitosa que se realice del malware distribuido a través del sistema.

VIVA INSTALLS, perteneciente al mismo grupo delictivo que se encuentra frente a HAPPY INSTALLS, es uno de ellos. Este sistema se encuentra "protegido" bajo el AS6851 de BKCNET "SIA" IZZI (ATECH-SAGADE), en la dirección IP 91.188.59.51, que resuelve el dominio happyinstalls.com. Este AS es conocido por su alta incidencia en materia de actividades fraudulenta, y porque es empleado también para la propagación de Koobface.


El sistema de afiliados en cuestión promociona uno de los códigos maliciosos del tipo rogue más conocidos: A-fast Antivirus.

El falso antivirus genera varias vetas de negocio, independientemente de la cantidad de instalaciones exitosas. Por un lado, el costo de este rogue es de USD 69.65, con lo cual todos aquellos desprevenidos que "compren el malware", estarán alimentando ese negocio.

Al mismo tiempo, para la compra se debe completar un formulario, en el cual se debe especificar la información de la tarjeta de crédito, lo que proporciona al delincuente más datos para realizar actividades fraudulentas. Sin describir en detalle que la información de la tarjeta de crédito va a completar los campos de alguna base de datos, que luego también se comercializa.

¿Como se realiza el circuito de infección?
El sistema de afiliados facilita a sus "clientes" la URL desde la cual se descarga el malware, advirtiendo que no se verifique la integridad del ejecutable a través de servicios públicos, virustotal por ejemplo. En este caso se trata de los archivos setup.exe y exe.exe (971eab628a7aac18bb29cba8849dff61), el downloader que oficia de vínculo para la descarga de A-fast Antivirus.

Si bien el sistema de afiliados se encuentra en 91.188.59.51, la descarga del rogue se realiza desde 91.188.59.112, dominio a-fast.com. Esta maniobra, si bien es común, demuestra que BKCNET "SIA" IZZI es la sede de un importante volumen de actividades delictivas.


¿Cómo es el proceso de registración?
Acceder particularmente al circuito de los afiliados de negocio implica contar con los requisitos necesarios. Fundamentalmente, un código de activación que es emitido por el sistema de afiliados en función de la recomendación de algún otro afiliado de "confianza"; es decir, un delincuente que ya se encuentre de forma activa en el circuito y que cargue con un periodo de actividades reconocidas.

¿Cuánto gana el afiliado por cada instalación exitosa?
Un tema de interés en torno a los sistemas de afiliados es ¿cuánto se paga, en este caso, por instalación?

Si bien los sistemas de afiliados comparten el mismo modelo de negocio, el costo que pagan por instalación no es el mismo para cada uno de ellos. En el caso de VIVA INSTALLS/HAPPY INSTALLS, los precios son los siguientes:

  • 0,30 dólares por instalación en EE.UU.
  • 0,20 dólares por instalación en Canadá, Australia e Inglaterra.
  • 0,01 dólar por instalación en otros países.
En definitiva, VIVA INSTALLS/HAPPY INSTALLS se dedica solo, por el momento, a la promoción y distribución de solo uno de los tantos (cientos) rogue que forman parte del circuito delictivo.

Ver más

9.8.10

Campaña de infección a través de Phoenix Exploit’s Pack

Phoenix Exploit’s Pack (PEK) es otro de los programas crimeware con mayor aceptación dentro del ecosistema delictivo en Internet, cuya utilización en las últimas semanas se masificó propagando una importante cantidad de malware.
Los binarios ejecutables que forman parte de la campaña que hasta el momento se encuentra activa, se propagan bajo el nombre por defecto del ejecutable que incorpora el paquete, llamado exe.exe. Algunos de los ejecutables que forman parte de esta campaña son:

8515e378f836afbaf30e29bdf7eed799 - No detectado
bb04fe6f6232dcc0661435ae9a6da513 - Zbot/Krap
82caf746a0d4e32ad633c075f22c1969 - FakeAV
8c30bae5db5d6e693bd3d343176d10d4 - GootKit
80592a5c5c7f4e91e1fc7d45c69b26df - Zbot
f36dd53834bcd0997dbbf50f54617941 - Probablemente una variante de Vundo
f4d4734d4f7392290a341a367e412226 - FakeAV
310226a86e883284eb3e821895156c4e - Katusha
971eab628a7aac18bb29cba8849dff61 - Probablemente una variante de Genome
0c1de65a594796b77030892498da1372 - Small/Agent
10b21cd819089f8d0a3788107c1125f4 - Olmarik/TDSS
687992266d21c6d6ad3232d6c98e2819 - Papras
51b834a745afd2787848f59ee30df659 – Zbot

La actualización de los binarios que se propagan a través de este crimeware es muy dinámica. Además, cuenta con un amplio repertorio de exploits precompilados para explotar las ya clásicas vulnerabilidades en navegadores y programas lectores de PDF.

all.pdf (75c38165c54f99bc3631544855206aad) CVE-2009-0927
allv7.pdf (be3d6d64687cc83825476947e2955591)
collab.pdf (69fef7cb57f8c16128ec9daba51e53ae) CVE-2007-5659
geticon.pdf (149335ac9d8b1e9918411c4c71cdf8bf) CVE-2009-0927
flash.swf (3310c3eb2b43f1353166a7cd21566e34)
ie.html (715d1fc6c63fc350cad997083e2ddfbb) CVE-2006-0003
libtiff.pdf (e0b17cc54294f26b9b9df77770dc5380) 
newplayer.pdf (13da5c68a1eb5a895c1bd3da8740ee75)
printf.pdf (c62c08cc2ed57c187d5fd0eda12e1443) CVE-2008-2992
vistaie7.html (ffcb420c6a9c4c91c130fdf171424299)
vistan7ie8.html (74aae64e8c583623d3592a2f7061c64d)
vistan7other.html (640c67a372889068a426aebaf21f18b9)
xpie7.html (0e8488bc4f4936fceb4907a141b91567)
xpie8.html (c8bba1b71d570917551d8c96486ff5e6)
xpother.html (242988c80807f9bdb2631a7a9c65c941)

Entre los dominios utilizados durante Julio de 2010 para la campaña, se encuentran:

1.fxguard.co.cc
1.tmjack.co.cc
1247892628.zage.in
2.keyzan.in
32874239049394.com
33askday7w2.com
appstoredemon.com
autoaccoustics.ru
avadrom.co.in
barabudd444.com
barabudd555.com
baragas-budd3.com
bardj96.info
bequeathooh4.info
beretjhvb5.info
bestrachel.com
bootch.in
bstservice.biz
ca200dajskjdhd.com
carauter.com
cheryy.com
cinbonto.com
condonikzang.info
congealagmfd6dbd.info
contritefg6.info
conundrumwth.info
dandbcorporation.com
debiller.com
dogmun.com
domsre.com
durposty.com
effacedfge8.info
effusive24ghj.info
elvagony.com
encelih.biz
eurpoker.org
fedou-kast.com
fffvideo.info
fist0.info
fortuna1.info
fortunaclasse.com
gepare.com
googlemugl.com
guglctat.net
gygack.com
heging.com
highclips.ru
iktagirl.com
illinate.be
illinated.co.in
in.xtborder.co.cc
intercullertdi50.net
irrationalsdv3.info
jenaallee.com
jk100asdsadhg.com
judiciousr347.info
justanothersillydomain.org
kaksosatshop.info
khozywebs.ru
kigll.com
kombry.com
lampstage.in
larseny.com
lartoil.com
lcitsih.biz
liveenline.com
lkem.info
loltrafo.co.cc
magicvideoonline.in
metyre.com
miror-couter-3.in
miror-couter-4.in
miror-couter-6.in
mixoto.co.in
mjef.info
monovideo.ru
musicmastersite.in
mytlo.com
navigable446.info
nextso.net
nimtsih.biz
paypay.co
perspicacitydg3.info
prosoftdesign.in
ratifytur6.info
regaledgh7.info
seawizard.net
servat-cooper.com
sexandvideo.ru
spl.ipomats.in
sunn.in
taciturnsdg5.info
tamesteel.net
toppulse32.org
utanmay.co.cc
utry.in
vbmn.info
vdsconfig.in
volgo-marun.cn
wanefbdf3.info
yadr3.com
zealotbbd6.info
zomotuir.com
zoor.in
zsitsih.biz

Información relacionada
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y (...) malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware...
Los precios del crimeware ruso. Parte 2
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Ver más