MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

30.9.10

Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva

La industria del crimeware sigue creciendo a través de la puesta en desarrollo y comercialización de nuevos paquetes de exploits pre-compilados que se suman a la oferta de alternativas destinadas a facilitar las maniobras delictivas a través de Internet.

En este caso, se trata de Black Hole Exploits Kit, una aplicación web desarrollada en Rusia pero que además incorpora para su interfaz el idioma inglés, y cuya primera versión (beta por el momento) está intentando insertarse en el mercado clandestino desde principios de septiembre de 2010. Su costo esta determinado en función de una serie de características que intentan diferenciarlo del resto.

Módulo estadístico de Black Holes Exploits Kit
Este módulo ofrece una visualización rápida de la información más relevante para un botmaster: cantidad de equipos que forman parte de la red y sus respectivos países, exploits con mayor tasa de éxito y demás información procesada.

A diferencia de muchos otros crimeware de este estilo, Black Hole Exploits Kit utiliza un sistema de licenciamiento por tiempo que determina su costo. Por ejemplo, adquirir este crimeware durante 1 año (por el momento el tiempo máximo) tiene un costo de $ 1500 dólares, mientras que una licencia semestral y trimestral, cuestan $ 1000 y $ 700 respectivamente.

Estadísticas sobre los sistemas operativos afectados
La tendencia marca un leve pero paulatino incremento de sistemas operativos comprometidos que no pertenecen a la familia de Microsoft. En este crimeware se incluye plataformas basadas en *NIX como GNU/Linux y Mac OS. Otros, como Eleonore Exploits Pack y Siberia Exploit Kit incluyen plataformas para dispositivos celulares de alta gama y consolas de videojuegos.

Además, posee costos de $ 50 por la alternativa de utilizar su sistema de cifrado. Esta característica constituye un patrón para los servicios "extras" ofrecidos por los desarrolladores de crimeware, al igual que la posibilidad de verificar la integridad del malware (AVChecker) diseminado a través del crimeware.

Para llevar a cabo esta verificación, se está utilizando con mayor frecuencia VirTest, el servicio privado de origen ruso que se ha transformado en el favorito de los delincuentes para controlar la reputación no sólo del malware diseminado sino que también del mismo exploits pack. Son varios los paquetes crimeware que recientemente han incorporado el módulo VirTest, entre ellos, la última versión de SpyEye.

En cuanto a los exploits, todos los que incorpora por el momento son públicos y ampliamente utilizados por la mayoría del crimeware actual. A pesar de ello, estos exploits poseen la mayor tasa de éxito en explotación.

Estadísticas de exploits
A través de este módulo se visualizan los datos estadísticos sobre la capacidad de éxito que posee cada uno de los exploits que forman parte del crimeware.

Black Hole Exploits Kit incorpora un TDS (Traffic Direction Script) que le permite independizarse de otra aplicación web que permita manipular arbitrariamente el tráfico web, y seguramente esta característica atrapará la atención de los delincuentes.

También posee un módulo auto-defensivo mediante el cual permite bloquear el acceso a determinados sitios web de seguridad mediante URL o rangos de dirección IP. En la siguiente imagen se encuentra configurado el bloqueo del acceso a los sitios web de Kaspersky Antivirus:

Módulo auto-defensivo
A través de este módulo también se puede importar o exportar una lista con direcciones a bloquear.

Black Hole Exploits Kit se suma a la cartera de ofertas y a poco más de un mes desde su lanzamiento en los ambientes underground no presenta mayor actividad In-the-Wild, quizás debido a su costo inicial. Sin embargo,  los profesionales de seguridad debemos prestar especial atención a este crimeware ya que por sus características y costo (que seguramente disminuirá levemente para la próxima versión) será muy bien aceptado dentro de la comunidad delictiva y, por ende, objeto de demanda por parte de los delincuentes.

Información relacionada
 
Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

Ver más

10.9.10

Black Software. Nuevo afiliado de negocios del tipo Pay-per-Install

El modelo de negocio que representan los programas de afiliados a través de sistemas del tipo Pay-per-Install se encuentra en pleno auge, constituyendo una pieza fundamental para los grupos delictivos que buscan aumentar su economía.

En este caso, hemos dado con un nuevo programa de afiliados  llamado Black Software, que promociona la descarga de programas maliciosos.

 Panel de acceso a Black Software
Se trata de un proceso de autenticación simple y convencional que requiere usuario y contraseña

El programa es de origen ruso y según su dirección IP tiene base en los Países Bajos. Comenzó con su propuesta de empresa a finales de Agosto de 2010 y posee un mecanismo mediante el cual cada afiliado debe configurar cierta información para obtener las URL necesarias para comenzar el negocio.

 Guía de Black Software
Esta guía proporciona información sobre cómo configurar de forma correcta los datos necesarios para obtener las URL, junto a un breve FAQ.

Como es habitual, el proceso de registro requiere una serie de información que  permiten a quien se encuentra detrás del sistema de afiliados, validar al potencial cliente y evitar una potencial infiltración. 
También cuenta con un módulo estadístico mediante el cual los afiliados chequean su status que cada 15 minutos es actualizado por el administrador del sistema, pudiendo visualizar información relacionada a cada descarga.

Módulo estadístico
Mediante el cual el sistema de afiliados provee la información necesaria para que cada “cliente” pueda chequear el estado de su cuenta.

El pago se realiza semanalmente y para aquellas cuentas que poseen un importante caudal de ingresos, es opcional poder establecer en qué momento desea que se realice el pago por las actividades delictivas que a través de esta aplicación web realiza.

Black Software es convencional y no posee un factor diferenciador respecto a otros programas de afiliados de su estilo, y aún no posee un alto porcentaje de actividades, quizás por su condición de "nuevo" en el ambiente delictivo y, por lo tanto, no tan conocido.

Sin embargo, representa otro recurso a disposición de quienes día a día alimentan su economía  a través de procesos fraudulentos y delictivos.

Información relacionada
Circuito de afiliación para la diseminación de NoAdware
Pirated Edition. Programa de afiliados Pay-per-Install
Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI

Ver más

8.9.10

Phoenix Exploit’s Kit v2.1 Inside

Este crimeware es uno de los más utilizados por los ciber-delincuentes para recolectar información de inteligencia que permita conocer las tendencias en torno a usos y costumbres por parte de las personas que utilizan Internet cotidianamente.

Esta información de interés busca obtener en tiempo y forma un detalle completo de las víctimas que, a posterior, les permita a los delincuentes conocer sobre qué factores enfatizar sus "mejoras" en la aplicación web, y a los botmaster pensar en alguna estrategia de diseminación de malware.

¿Para qué? Obtener información procesada (inteligencia) es clave porque les permite contar con información real sobre las diferentes tecnologías utilizadas por las personas. Este tipo de maniobras es ampliamente utilizado por los delincuentes. ¿Alguna vez se preguntaron por qué Koobface se propaga por redes sociales? 

Por ejemplo, la mayoría del crimeware de este estilo acopian datos sobre:
  • Tipo y versión de plataformas. Permite conocer cuáles son los sistemas operativos más utilizados y los más vulnerables.
  • Tipo y versión de navegadores. Busca comprender la misma característica que el punto anterior.
  • Países afectados. Permite conocer la cantidad de computadoras víctimas en cada país. De esta manera, el botmaster podría discriminar la propagación de malware orientando su promoción a países particulares.
¿Por qué? Porque toda esta información le permite al desarrollador poder agregar y/o mejorar los exploits que incorpora en versiones "mejoradas" del "producto". Además, en función del último punto por ejemplo, la sencillez en cuanto a la fácil lectura de los datos estadísticos hace que muchos botmaster utilicen PEK (Phoenix Exploit’s Kit) para propagar malware que es utilizado como "puente" para registrar descargas e instalaciones exitosas para incrementar su economía a través de sistemas de afiliados del tipo Pay-per-Install.

Actualmente el desarrollo de PEK se encuentra en su versión 2.3r, siendo esta una versión preliminar a la 2.4 y que se encuentra en su etapa de "testeo" desde mediados de agosto de 2010. La última versión "estable" es la 2.3.

Sin embargo, este post trata sobre la versión 2.1 de Phoenix Exploit’s Kit, y veremos que desde el punto de vista visual no cambió en sus versiones anteriores ni cambia en las posteriores.

Por defecto posee 10 exploits, que son los siguientes:
Esta versión arrastró la característica Phoenix Triple System incorporada a partir de la versión 1.4, que básicamente consiste en un sistema de cifrado para los binarios ejecutables que se diseminan. El objetivo de esto es entorpecer los procesos de análisis sobre el malware.

Se compone de 6 módulos de los cuales 4 proporcionan información de interés de cada equipo que forma parte de la botnet.

Simple statistics
Es una visión general de los datos recolectados, mediante el cual se visualiza información sobre los navegadores que presentan el mayor porcentaje de explotación exitosa detallando la cantidad de visitas en cada uno de ellos, cantidad total de visitas y los exploits que posee el paquete. En este caso se trata de una versión actualizada donde se le incorporaron algunos exploits

Advanced statistics
Básicamente posee un nivel más de detalle sobre los sistemas operativos y navegadores afectados, incorporando como dato útil la versión de cada uno de ellos. En este caso, los tres sistemas operativos más comprometidos son Windows XP, Vista y Seven respectivamente, y con un porcentaje mínimo comparado con estos pero mayor a Windows ME, 2000 y 2003, se encuentran las plataformas Linux.

Curiosamente, en cuanto a los navegadores, los tres que cuentan con mayor tasa de vulnerabilidad son Firefox 3.6, InternetExplorer 8 y 7 respectivamente.


 Countries statistics
Información relacionada a los países en los cuales se encuentran los equipos comprometidos. El detalle de esta información está en la cantidad de visitas desde determinado país y la cantidad de exploits que han tenido éxito, también discriminados por países.

Referers statistics
Información de los sitios web de referencia a Phoenix Exploit’s Kit. La característica principal radica en que el patrón seguido por PEK es el referenciamiento desde páginas pornográficas desde las cuales se explota a través del navegador algunos de los exploits pre-compilados en el paquete. Este módulo muestra la lista de páginas, la cantidad de visitas por páginas y la cantidad de exploits que han tenido éxito junto a un promedio expresado en porcentajes.

La lista que presenta la versión empleada para este artículo es muy larga, pero se encuentra completa en el siguiente enlace: PEK v2.1 Referers List.

Upload .exe
Este módulo es el que permite actualizar el código malicioso a diseminar. Generalmente sólo lo cambian cada vez que someten el binario ejecutable a procesos de cifrado del servicio Phoenix Triple System, o cuando los botmaster cambian su estrategia de infección en función de nuevos objetivos para con el malware. Cambio de sistema de afiliados que diseminan su propio malware por ejemplo.

En este caso, PEK es utilizado para propagar una versión del troyano generado con ZeuS:
En el White paper llamado Phoenix Exploit’s Kit. De la mitología a un negocio delictivo pueden obtener mayor información sobre las diferentes versiones de este crimeware.

Información relacionada
Estado del arte en Phoenix Exploit's Kit [White paper]

Campaña de infección a través de Phoenix Exploit’s Pack
Phoenix Exploit's Kit and Pay-per-Install via PC Defender Antivirus
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets



Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

Ver más

myLoader C&C Oficla Botnet en BKCNET "SIA" IZZI con la mayor tasa de infección en Brasil

myLoader es una aplicación web que permite a los delincuentes recolectar información estadística relacionada a diferentes factores y características sobre cada una de las computadoras infectadas. Este crimeware es comercializado en el mercado underground a un costo promedio de USD 700.

La botnet Oficla comenzó con sus actividades delictivas a principios de 2010 y precisamente el binario ejecutable, detectado por los motores antivirus como Oficla o Sasfis, es generado a través de un constructor que incorpora myLoader.

A principios de 2010, MalwareIntelligence alertó sobre las actividades de una botnet Oficla con más de 250.000 computadoras reclutadas, que luego de varios días más supero la cifra de 300.000 zombis. Un White paper que explica el modo de comercialización del crimeware y operación de la botnet se encuentra disponible en la sección documentos.

La región latinoamericana cuenta con un importante desarrollo de malware, destacándose, sin lugar a dudas, Brasil con la generación de códigos maliciosos diseñados para robar datos de índole financiero a través de troyanos bancarios que habitualmente se diseminan por correo electrónico o MSN.

Sin embargo, no es el único en la región y países como Mexico, Perú y Argentina, acompañan la tendencia también con un importante caudal de delincuentes que aspiran, incluso, a copiar los modelos de negocios delictivos y fraudulentos que desde el otro lado del mundo cotidianamente generan nuevos puntos de investigación a causa de los incidentes de seguridad que provocan, principalmente el robo de información.

Bajo toda esta escenografía, las botnets juegan un papel fundamental en un alto porcentaje, donde me atrevo a decir casi todos, de los delitos que se cometen a través de Internet. Es decir, el rol de las botnets dentro del ámbito actual del cibercrimen, representan la pieza clave con la que cuentan los delincuentes informáticos.

La siguiente imagen es un ejemplo de ello. Se trata de una botnet de Oficla gestionada a través de myLoader, que cuenta con un total de 9065 zombis reclutados.

Estadísticas de myLoader
Básicamente muestra información relacionad a la cantidad de computadoras comprometidas durante los últimos 15 días, cuantas de ellas se encuentran online, entre otros

Y evidenciando lo que mencionaba líneas arriba, el top ten de países afectados lo encabeza Brasil con un poco más de 1300 zombis (casi el 15%), y en lo que a Latinoamérica respecta, le siguen México y Argentina.


Estadísticas de geolocalización de zombis
Esta imagen sólo muestra el top ten de países afectados donde la botnet posee zombis

Computadoras afectadas sólo en Brasil
La lista es muy larga y básicamente muestra información sobre las computadoras infectadas

Una particularidad interesante es que esta botnet se encuentra bajo el techo del AS6851 en la dirección IP 91.188.60.97. Conocido bajo el nombre de BKCNET "SIA" IZZI o SAGADE, ampliamente popular por su relación con el alojamiento de recursos delictivos como ZeuS, Koobface, afiliados de negocios, entre muchos otros.

En la sección documentos se puede descargar un White paper con información de los recursos delictivos asociados a un determinado rango de direcciones IP que se encuentran bajo la tutela de BKCNET "SIA" IZZI.

En cuanto a los códigos maliciosos que se diseminan a través de esta botnets, se encuentran los siguientes binarios ejecutables:

Información relacionada
Oficla botnet con más de 200.000 zombis reclutados
myLoader. Framework para la gestión de botnets
myLoader. Base C&C to manage Oficla/Sasfis Botnet [Whitepaper versión en español]
Criminal activities from BKCNET “SIA” IZZI / ATECH-SAGADE - Part one [Whitepaper versión en español]




Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

Ver más

Actividades delictivas desde BKCNET “SIA” IZZI / ATECH-SAGADE - Parte uno

BKCNET “SIA” IZZI, también conocido como ATECH-SAGADE o simplemente SAGADE, es un AS (Autonomous System) bajo numeración 6851, que actualmente constituye uno de los recursos más activos del crimeware mediante el cual se distribuyen cotidianamente una importante cantidad de códigos maliciosos, además de ser la base de control para el alojamiento de varios C&C que retroalimentan la economía clandestina.

Su geolocalización es en Letonia y, como lo he mencionado en otra oportunidad, “Este ASN está catalogado como servidor de actividades delictivas como la propagación de diferentes familias de rogue, alojamiento de crimeware como YES Exploit System, durante el 2009 alojo las estrategias de la botnet Waledac (sucesora de Storm), también a ZeuS y hasta posee relación directa con los delincuentes que se encuentran detrás de las maniobras de la botnet Koobface”.

Actualmente, la mayoría de los códigos maliciosos que se propagan a través de los recursos soportados por BSI (BKCNET “SIA” IZZI) conforman la maniobra que da soporte a la gestión de sistemas de afiliados destinados, precisamente, a incrementar las ganancias de los delincuentes por intermedio del éxito de las infecciones logradas.

A continuación se deja en evidencia las actividades del AS6851 en el rango de direcciones IP’s aglomeradas entre 91.188.59.9 y 91.188.59.249, a la fecha 14 de Agosto de 2010 (en rojo el historial), que responden a maniobras maliciosas.

Versión en inglés
Versión en español

Ver más

3.9.10

Circuito de afiliación para la diseminación de NoAdware

Detrás del malware se esconde un negocio. Sin lugar a dudas, creo que ya nadie desmiente esta afirmación. Día a día aparece un importante caudal de códigos maliciosos que si bien poseen propósitos generales en cuento a sus actividades, en definitiva buscan retroalimentar el negocio que se esconde detrás a través de mecanismos y estrategias fraudulentas.

Uno de los modelos de negocio más difundidos es el pago de un porcentaje de dinero para quienes logren promover determinado rogue. Este modelo se conoce como programas de afiliados, mientras que el sistema de pago por instalación recibe el nombre de Pay-per-Install.

Este es el caso del rogue NoAdware, un código malicioso de amplia difusión que opera desde hace varios años a través de diferentes coberturas.

Página principal de NoAdware
Desde esta web se descarga el binario que oficia de "recurso económico" para el sistema de afiliados y sus partners

Empleando las estrategias comunes impuestas por sitios web de este estilo, como falsas certificaciones y testimonios que intentan transmitir confianza en las potenciales víctimas, promociona la instalación de una supuesta solución de seguridad que es en realidad el malware.

Generalmente los sistemas de afiliados proveen sólo el ejecutable a diseminar, el cual muchos delincuentes lo propagan a través de algún crimeware del tipo exploit pack, y otros, en menor proporción, sólo lo propagan mediante una página que es creada y hosteada bajo su propia responsabilidad.

El sistema que se esconde detrás de NoAdware, facilita este asunto proporcionando la posibilidad de seleccionar un template y luego solo subirlo al hosting del afiliado. De esta manera, cuando una potencial víctima visita esta web, es direccionado a la página principal de NoAdware, y cada afiliado, en teoría, recibe el 75% de dinero por cada instalación. La venta de rogue (mimetizado en programa de seguridad) es de $47.00.

Sin embargo, también se manejan otros valores en relación directa con la cantidad de licencias:
  • 2 Computers ($67.00)
  • 3 Computers ($87.00)
  • 5 Computers ($117.00)
  • 10 Computers ($197.00)
  • 25 Computers ($417.00)
  • 50 Computers ($767.00)
Selección de sitio web para propagar NoAdware
El proceso consiste en dos etapas: seleccionar el template y descargarlo. Este sitio direccionará el tráfico web hacia la página principal de NoAdware

NoAdware también se promociona bajo el nombre Adware Professional 2010. Es exactamente la misma aplicación maliciosa que reporta su instalación contra el sistema que está detrás de NoAdware.

Hipotéticamente hablando, supongamos que un partner (afiliado/delincuente) logra una instalación exitosa por día durante 30 días (un mes). El 75% sobre $47 es de $35.25 (esto es lo que ganaría por día y por una sola instalación exitosa del malware). En consecuencia, este partner tendría una ganancia teórica de $1057.5 mensualmente.

Este programa de afiliados trabaja con un sistema de pagos a través de Internet, legal, llamado ClickBank, cuya principal particular es que las transacciones comerciales de un gran número de malware del tipo rogue es realizado a través de este sistema.

HopLink para NoAdware
Esta página direcciona el tráfico hacia la página oficial de NoAdware, enviando al mismo tiempo la información del afiliado para que el pago se registre en su cuenta

El direccionamiento es hacia la una URL con la siguiente sintaxis: noadware.net/?hop=[PARTNER-NICK]

De esta forma se registra el pago de un porcentaje de dinero en concepto de comisión para cada uno de los afiliados que forme parte del circuito de este rogue.

Circuito del sistema de afiliados
El gráfico muestra las diferentes etapas que recorre un sistema de afiliados convencional

Una de las evidencias que refleja la tasa de uso de ClickBank por parte de los grupos delictivos para garantizar transacciones económicas "seguras" es el importante caudal de sistemas de afiliados, muchos de ellos promocionan malware, que se encuentran bajo su techo. Algunos de ellos son:
Esta breve lista es solo una pequeña muestra, ya que el volumen de programas maliciosos que se promocionan a través de este medio es muy grande.

Información relacionada
Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI
AntiSpy Safeguard with new social engineering approach

Ver más