MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

11.8.10

Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI

Uno de los negocios más redituables en el ámbito informático delictivo, lo constituyen los programas de afiliados. Estos son sistemas a los cuales los delincuentes se adhieren para obtener un rédito económico en concepto de comisión, como en este caso, por cada instalación exitosa que se realice del malware distribuido a través del sistema.

VIVA INSTALLS, perteneciente al mismo grupo delictivo que se encuentra frente a HAPPY INSTALLS, es uno de ellos. Este sistema se encuentra "protegido" bajo el AS6851 de BKCNET "SIA" IZZI (ATECH-SAGADE), en la dirección IP 91.188.59.51, que resuelve el dominio happyinstalls.com. Este AS es conocido por su alta incidencia en materia de actividades fraudulenta, y porque es empleado también para la propagación de Koobface.


El sistema de afiliados en cuestión promociona uno de los códigos maliciosos del tipo rogue más conocidos: A-fast Antivirus.

El falso antivirus genera varias vetas de negocio, independientemente de la cantidad de instalaciones exitosas. Por un lado, el costo de este rogue es de USD 69.65, con lo cual todos aquellos desprevenidos que "compren el malware", estarán alimentando ese negocio.

Al mismo tiempo, para la compra se debe completar un formulario, en el cual se debe especificar la información de la tarjeta de crédito, lo que proporciona al delincuente más datos para realizar actividades fraudulentas. Sin describir en detalle que la información de la tarjeta de crédito va a completar los campos de alguna base de datos, que luego también se comercializa.

¿Como se realiza el circuito de infección?
El sistema de afiliados facilita a sus "clientes" la URL desde la cual se descarga el malware, advirtiendo que no se verifique la integridad del ejecutable a través de servicios públicos, virustotal por ejemplo. En este caso se trata de los archivos setup.exe y exe.exe (971eab628a7aac18bb29cba8849dff61), el downloader que oficia de vínculo para la descarga de A-fast Antivirus.

Si bien el sistema de afiliados se encuentra en 91.188.59.51, la descarga del rogue se realiza desde 91.188.59.112, dominio a-fast.com. Esta maniobra, si bien es común, demuestra que BKCNET "SIA" IZZI es la sede de un importante volumen de actividades delictivas.


¿Cómo es el proceso de registración?
Acceder particularmente al circuito de los afiliados de negocio implica contar con los requisitos necesarios. Fundamentalmente, un código de activación que es emitido por el sistema de afiliados en función de la recomendación de algún otro afiliado de "confianza"; es decir, un delincuente que ya se encuentre de forma activa en el circuito y que cargue con un periodo de actividades reconocidas.

¿Cuánto gana el afiliado por cada instalación exitosa?
Un tema de interés en torno a los sistemas de afiliados es ¿cuánto se paga, en este caso, por instalación?

Si bien los sistemas de afiliados comparten el mismo modelo de negocio, el costo que pagan por instalación no es el mismo para cada uno de ellos. En el caso de VIVA INSTALLS/HAPPY INSTALLS, los precios son los siguientes:

  • 0,30 dólares por instalación en EE.UU.
  • 0,20 dólares por instalación en Canadá, Australia e Inglaterra.
  • 0,01 dólar por instalación en otros países.
En definitiva, VIVA INSTALLS/HAPPY INSTALLS se dedica solo, por el momento, a la promoción y distribución de solo uno de los tantos (cientos) rogue que forman parte del circuito delictivo.

0 comentarios: