MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

28.5.10

Inteligencia y nivel de explotación según Siberia Exploit Pack

Siberia Exploit Pack es un crimeware, evolución de Napoleon Exploit Pack, del cual ya he hecho una breve descripción en otra oportunidad. Sin embargo, desde el momento de esa descripción hasta estos días, el panorama de su desarrollador se ha ampliado.


En este sentido y si bien termina siendo uno más del montón, lo interesante de este crimeware es la información que proporciona su panel de estadísticas (la inteligencia para el atacante), dicho sea de paso muy similar al provisto por Eleonore Exploit Pack, donde se ofrecen datos relativos al éxito de explotación que tiene el exploit pack para el reclutamiento zombi, discriminando estos datos en función de:

  • Países afectados
  • Sistemas operativos más explotados
  • Referencia de los dominios con mayor porcentaje a través de los cuales se explotan vulnerabilidades
  • Navegadores más explotados
  • Exploits pre-compilados en esta versión del paquete
Déjenme insistir (porque no es un dato menor) con que este acopio de información no es más que hacer inteligencia, lo cual le permite al atacante conocer, en primera instancia:

En el primero de los casos, la población de qué país es más vulnerable, quizás por su nivel de piratería, lo cual pone sobre relieve la falta de actualizaciones de seguridad de los sistemas operativos y de las aplicaciones, ya que como veremos al llegar a los exploits, todos estos son conocidos y cuentan desde hace mucho tiempo con el correspondiente parche que soluciona la vulnerabilidad. 

En este caso, los primeros cinco países donde este crimeware tiene mayor tasa de infección son: Estados Unidos, Inglaterra, Canadá, Rusia y Alemania.


El mismo criterio se persigue con los datos recavados sobre los sistemas operativos “más vulnerables”, entre comillas porque, como dije anteriormente, el grado de vulnerabilidad del OS depende directamente de una serie de aspectos que deberían estar contemplados en el hardening, dentro del cual un factor importante es la implementación de los parches de seguridad.

Por ejemplo, la vulnerabilidad en MDAC (Microsoft Data Access Components) data del año 2006 (cuatro años), descrita en Boletín Oficial de Microsoft MS06-014. El impacto que sobre los sistemas operativos tiene esta versión del crimeware, la podemos observar en la siguiente imagen.


La lista de sistemas operativos atacados es amplia y los tres que poseen mayor brecha de vulnerabilidad pertenecen a la familia de Microsoft (lo que es lógico debido a la masividad de uso), además de otros también de MS.

Sin embargo, el crimeware contempla otros sistemas operativos no Windows, incluyendo los de consolas PlayStation (GNU/Linux o Black Rhino) y Nintendo Wii (irónicamente una versión modificada de una distribución GNU/Linux), en el caso de Workstations y OS utilizado en telefonía celular de alta gama, entre ellos:
  • Mac OS
  • GNU/Linux
  • FreeBSD
  • iPhone
  • Windows Mobile
  • Windows CE
  • Pocket PC
  • Symbian OS
Aquí ya comenzamos a reconocer que los delincuentes han ampliado el horizonte de cobertura, incorporando en su cartera de opciones la explotación de vulnerabilidades (a través del navegador) y reclutamiento de zombis en otros sistemas operativos empleados en otras tecnologías informáticas.

Respecto a las referencias, involucra casi 28.000 dominios donde cada uno de ellos redireccionan a otra página con contenido malicioso o por lo menos dudoso como:
Las referencias a estos sitios web son obtenidas a través de una aplicación del tipo TDS (Traffic Distribution System), también instalada en el mismo servidor, utilizada para redireccionar el tráfico hacia y desde las páginas listadas en este módulo del paquete. Los TDS son ampliamente utilizados para realizar BlackHat SEO.

Por otro lado, la lista es muy grande ya que detalla los navegadores más vulnerados conjuntamente con sus respectivas versiones, ellos son:
  • Internet Explorer desde la versión 4 a la 8
  • Firefox desde la versión 1.0.3 a la 3.6b4
  • Opera desde la versión 6.0 a la 10.0
  • Opera para Mobile
  • Safari browser
  • PlayStation (Firefox)
  • Pocket PC
  • SeaMonkey 1.1 y 2.0 (Suite de Mozilla que incluye un navegador web)
  • Nintendo browser
  • iPhone Browser
  • Mobile Phone Browser (Internet Explorer)
  • Chrome desde la version 1.0 a la 6.0
Por último ¿cuáles son los exploit encargados de aprovechar las vulnerabilidades en todo lo mencionado anteriormente? Bueno, en principio cabe destacar que son los exploits están diseñados para explotar vulnerabilidades conocidas, como lo mencioné líneas arriba, de larga data.

El más explotado, Java GSB. Las vulnerabilidades menos explotadas son las de Adobe Reader a través de archivos PDF manipulados.


Sin lugar a dudas los delincuentes informáticos incorporan procesos de inteligencia en sus estrategias de propagación/infección, lo que les permite tener un panorama amplio de la situación en el campo virtual, incrementando la obtención de resultados exitosos en sus ataques.

Imaginen estos datos para ejecutar campañas en “una guerra de guerrilla virtual”; incluso, para comprender la gama de OS utilizados en ambientes militares/gubernamentales y analizar así el mejor escenario para llevar a cabo ataques de DDoS contra los recursos críticos de un Estado. La cosa ya no parece tan trivial.

Información relacionada
Estado del arte en CRiMEPACK Exploit Pack
Crimeware-as-a-Service y mecanismos de evasión antivirus
Servicio ruso en línea para comprobar la detección de malware
Software as a Service en la industria del malware
Creación Online de malware polimórfico basado en PoisonIvy
ZeuS Botnet y su poder de reclutamiento zombi
Botnet. Securización en la nueva versión de ZeuS

Ver más

24.5.10

Campaña de BlackHat SEO por el trigésimo aniversario de PAC-MAN

Recientemente el legendario videojuego PAC-MAN ha cumplido 30 años de existencia y Google ha lanzado una campaña en su homenaje colocando un banner que permite, incluso, jugarlo.

Sin embargo, no solo Google saca provecho de esto sino que los delincuentes informáticos también, que vieron en esta campaña una nueva oportunidad de ataque y han puesto en marcha otra campaña pero de propagación de malware a través de BlackHat SEO (también llamado SEO Poisoning).

Algunos otros parámetros de búsqueda pueden ser:

pac man 30th anniversary game
pac man 30th anniversary games
pac man 30th anniversary google
pac man 30th anniversary high score
pac man 30th anniversary play
pacman free online 3d
pacman free online addicting games
pacman free online download
pacman free online game for kids
pacman free online game
pacman free online no sound
pacman free online play
pacman free online with no sound
pacman game download
pacman game flash
pacman game for kids
pacman game for wii
pacman game free download
pacman game full screen

El tráfico de redireccionado a la descarga de scareware. En este caso, un binario con md5 4c9ac21a2730a5e6d8c8018afb517d5e que posee una tasa de detección muy baja: 6/41 (14.63%).


Entre los dominios que involucra la campaña se encuentran:

accu-riteaccounting.com
africanbynature.com
allisonleach.com
bobsclamhut.com
carolfleming.org
carolinasystemsinc.com
d3-store.com
delta-electronic.com
diningbythesea.com
drakeleisure.co.nz
fastripsnackatak.com
fbgartschool.com
gas-consult.com
generationbass.com
gjsdesigns.com
goedkopepc.net
hkiarchitects.com
houndshaveninc.com
hst1066.com
itech-on.pt
jaszmetal.hu
larsonguitar.com
nsc.eypgreece.org
okidouki.com
olivermurr.com
oneaccordclass.org
partrade.net
redhanded.ca
red-partner.com
regionalportauthorityofnwo.org
reillocile.com
reillychiro.com
reynared.com
roseguggenheimer.com
ruders.com
rufiocreative.com
runawaysnail.com
ryangruhn.com
ryanroghaar.com
sacredhaven.com
saevar.com
scxdigitalslots.com
seastromlaw.com
shop.infytel.com
sor-d2.com
s-teamexpert.com
tcgpage.com
tuneoutdropin.com
turtlesplayground.com
william-heise.com

Para lograr masificar la campaña y obtener un buen PageRank en Google, los delincuentes alojan en un servidor vulnerado una lista de páginas web con los títulos cuyas palabras que lo conforman son el objeto de búsqueda habitual. Estos archivos se encuentran en una carpeta oculta, en muchos casos llamada ".files".


Bajo este panorama y teniendo en cuenta que estas estrategias son ampliamente utilizadas para la propagación de malware, una practica muy buena es verificar en la raíz del posting la existencia de carpetas ocultas.

Información relacionada
Estrategia BlackHat SEO propuesta por Waledac
Propagación de Malware a través de sitios con formato de blogging y BlackHat SEO
Campaña de propagación del scareware MalwareRemovalBot

Ver más

19.5.10

Estado del arte en CRiMEPACK Exploit Pack

CRiMEPACK es un exploit pack de amplia difusión y aceptación en el escenario delictivo que entró en este campo bajo el slogan "highest rates for the lowest price" (“tasas más altas a un precio bajo”).

Actualmente se encuentra In-the-Wild la versión 3.0 cuya fase de desarrollo es alpha (la primera de esta versión). Es decir, se encuentra en plena etapa de evaluación y seguramente en los próximos días se pondrá a la venta en foros underground, momento en el cual se conocerá su costo real.

Como todo exploit pack, este también se compone de un conjunto de exploits pre-compilados para aprovechar una serie de vulnerabilidades en aquellos sistemas con debilidades en alguna de sus aplicaciones, para luego descargar y ejecutar (Drive-by-Download & Execute) códigos maliciosos y convertir ese sistema en un zombi, y en consecuencia, parte del aparato delictivo.

Y digo bien… "delictivo", ya que quienes se encuentran detrás del desarrollo de este tipo de crimeware lo hacen con este fin. Y a juzgar por las imágenes (una manopla, un arma de puño, una billetera, dinero y lo que parecería ser cocaína, propio escenario de toda mafia) que se observan en la interfaz de autenticación de su panel de control, esta definición queda muy evidente.

La primera vez que me topé con este paquete fue en el 2009, cuando la versión In-the-Wild era la versión 2.1 y luego dio su "gran salto" a una de las más populares: la versión 2.8 (aún muy activa), la cual a principios de 2010 había incorporado en su cartera de exploits CVE-2010-0188 y CVE-2010-0806; además de agregar un generador iframe y la funcionalidad "Anti-Kaspersky emulation", a un costo de USD 400.

En esta primera etapa de la evaluación de la versión 3, CRiMEPACK incorpora un total de 14 exploits, los cuales son:

Para todos los exploits incorpora una característica que puede ser activada o desactivada desde el panel de control denominada "Aggressive Mode", que se trata de un Applet de JAVA que emerge a través de una ventana pop-up preguntando a la potencial víctima si desea aceptar el Applet. En caso afirmativo, se carga el payload (el malware).

Por otro lado, dentro de la constante evolución que sufre este tipo de crimeware, incorpora medidas auto-defensivas como evitar la desofuscación de los scripts con técnicas anti Wepawet y Jsunpack.

Además de comprobar de forma automática, si el dominio empleado se encuentra listado en los servicios:
  • Norton SafeWeb
  • My WebOfTrust
  • Malc0de
  • Google Safe Browsing
  • MDL
  • McAfee SiteAdvisor
  • HpHosts
  • MalwareURL
Hace unos días Brian Kreb publicaba en su blog una noticia sobre la implicancia que tuvo este paquete en los procesos de propagación y explotación de una vulnerabilidad, hasta ese momento, del tipo 0-Day a través de JAVA, y sin lugar a dudas se explotaba la vulnerabilidad a través de una clase.

Sin embargo, también fue asociada con otro exploit pack denomina SEO Sploit Pack y, aunque no se trata del mismo, una vez más queda en completa evidencia que los procesos del negocio que representa el crimeware posee una demanda muy alta, ofreciendo las aplicaciones a bajo costo dentro de un modelo de negocio muy competitivo… y cada vez más agresivo!!

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular

ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web 

Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets 
TRiAD Botnet III. Administración remota de zombis multiplataforma

Ver más

4.5.10

Una recorrida por los últimos scareware XXII

A-Fasta Antivirus
91.188.59.112
a-fast.com
Latvia Latvia Riga Sagade Ltd
AS6851 - BKCNET "SIA" IZZI
12/40 (30.00%)




79.135.152.155

sys-defender.com
antispyware-system.com
Latvia Latvia Colocation Hosting
AS2588 - LATNETSERVISS-AS LATNET ISP

193.33.115.92
antispyware-soft.net
antispyware-system.net
antivirus-armature.com
avprocess.com
defendersoftpremium.net
sys-defender.net
av-force.net
Austria Austria Klagenfurt Anexia Internetdienstleistungs Gmbh
AS42473 - ANEXIA Internetdienstleistungs GmbH

195.78.108.230
dtpkn.com
fknbt.com
free-checker-spyware.biz
free-malware-checker.biz
free-tunes-club.com
free-tunesclub.com
ftjkp.com
nbtrf.com
ptkvb.com
strpf.com
tghkp.com
trpkg.com
xbrtk.com
xsptf.com
United  Kingdom United Kingdom Pi Obodovsky Ivan Sergeevich
AS49544 - INTERACTIVE3D-AS Interactive3D

live-pc-care2010.com 66.96.206.165
United  States United States Scranton Network Operations Center Inc
AS21788 - NOC Inc (Network Operations Center)

blacksecuritygroup.com 76.76.96.83
bestpathsecurity.com 76.76.96.86
Malaysia Malaysia Darren Tan

76.76.103.196
networksecurityregistry.com
retailsecurityguide.com
getsecuritydirect.com 76.76.103.197
Canada Canada Interweb Media
AS21793 - MAINT AS21793 Maintainer for Tenino Telephone

security-pccare2010.com 66.96.206.164
totalsecuritydirect.com 66.96.206.163
United  States United States Scranton Network Operations Center Inc
AS21788 - BurstNet Technologies, Inc.

Antivirus PC 2009
91.210.173.25
antiviruspc-stat.com
antiviruspc-update.com
antiviruspc2009.com
Kazakhstan Kazakhstan Lorer Corporation
AS48588 - QUICK-AS Quick IT Ltd
37/40 (92.50%)

62.122.75.240
avmaxsoft.com
avsoftsuite.com
getav.net
United  Kingdom United Kingdom Leksim Ltd
AS5577 - ROOT SA

74.118.193.81
www3.controlle50-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www3.controlle51-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www3.controlle52-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www3.controlle66-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www3.controlle67-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www3.controlle68-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www3.controlle53-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www3.controlle54-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www3.controlle55-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www3.controlle64-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www3.controlle65-td.xorg.pl/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
United  States United States Clarks Summit Volumedrive
AS46664 - VolumeDrive

217.23.5.52
www1.easyguardpc26-p.xorg.pl
www1.easyguardpc27-p.xorg.pl
www1.easyguardpc30-p.xorg.pl
www1.holdonsafety69-p.xorg.pl
Portugal Portugal Faro Worldstream
AS49981 - WorldStream = Transit Imports = -CAIW

209.212.149.22
www4.realguardforyou24p.com/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www4.safeyourpc20-pr.com/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www4.safeyourpc21-pr.com/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
www4.safeyourpc22-pr.com/?p=p52dcWpra1/RlsijZFahqJ51ml6bZJOdZZbIlmM=
United  States United States Arlington Heights Ecomdevel Llc
AS32181 - ASN-CQ-GIGENET ColoQuest/GigeNet ASN

208.76.61.100
windows-500.com/download/AVInst_2004_b8.exe
windows-600.com/download/AVInst_2004_b8.exe
windows-700.com/download/AVInst_2004_b8.exe
windows-800.com/download/AVInst_2004_b8.exe
windows-900.com/download/AVInst_2004_b8.exe
scan-windows100.com/download/AVInst_2004_b8.exe
scan-windows200.com/download/AVInst_2004_b8.exe
scan-windows300.com/download/AVInst_2004_b8.exe
scan-windows400.com/download/AVInst_2004_b8.exe
scan-windows600.com/download/AVInst_2004_b8.exe
1secure-computer.com/download/RunAV_283.exe
5secure-computer.com/download/RunAV_283.exe
6secure-computer.com/download/RunAV_283.exe
7secure-computer.com/download/RunAV_283.exe
8secure-computer.com/download/RunAV_283.exe
United  States United States San Francisco Everydns Llc
AS15135 - EVERYDNS ASN

74.220.199.6
windows-10.com/download/AVInst_2004_b8.exe
windows-30.com/download/AVInst_2004_b8.exe
windows-50.com/download/AVInst_2004_b8.exe
windows-70.com/download/AVInst_2004_b8.exe
windows-90.com/download/AVInst_2004_b8.exe
United  States United States Orem Bluehost Inc
AS11798 - ERILAB Ericsson Cyberlab West

85.12.46.16
scan-windows-10.com/download/AVInst_2004_b8.exe
scan-windows-20.com/download/AVInst_2004_b8.exe
scan-windows-30.com/download/AVInst_2004_b8.exe
scan-windows-40.com/download/AVInst_2004_b8.exe
scan-windows-60.com/download/AVInst_2004_b8.exe
Netherlands Netherlands Eindhoven Web10 Ict Services
AS34305 - EUROACCESS Global Autonomous System

195.5.161.126
2a-scanner.com/download/RunAV_283.exe
3a-scanner.com/download/RunAV_283.exe
4a-scanner.com/download/RunAV_283.exe
5a-scanner.com/download/RunAV_283.exe
6a-scanner.com/download/RunAV_283.exe
Moldova, Republic Of Moldova, Republic Of Chisinau Vid-tehno Srl Customers
AS31252 - STARNET-AS StarNet Moldova

94.228.220.109
secure1.cleanpayzone.com/?abbr=MSE&pid=3
secure1.cleanpayzone.net/?abbr=MSE&pid=3
secure1.clean-up-antivir.net/?abbr=MSE&pid=3
secure1.live-pc-guardian.net/?abbr=MSE&pid=3
secure1.my-secure-wall.net/?abbr=MSE&pid=3
secure1.my-security-engine.net/?abbr=MSE&pid=3
secure1.payliveguard.com/?abbr=MSE&pid=3
secure1.payliveguard.net/?abbr=MSE&pid=3
secure1.paysecuredefender.com/?abbr=MSE&pid=3
secure1.paysecuredefender.net/?abbr=MSE&pid=3
secure1.pc-live-guardian.net/?abbr=MSE&pid=3
secure1.safepaymentzone.com/?abbr=MSE&pid=3
secure1.safepaymentzone.net/?abbr=MSE&pid=3
secure1.secure-guardian.net/?abbr=MSE&pid=3
secure1.securexzone.com/?abbr=MSE&pid=3
secure1.securexzone.net/?abbr=MSE&pid=3
secure1.security-antivir.com/?abbr=MSE&pid=3
secure2.land-protection.net/?abbr=MSE&pid=3
Netherlands Netherlands Netrouting
AS47869 - NETROUTING-AS Netrouting Data Facilities

Información relacionada
Una recorrida por los últimos scareware XXI
Una recorrida por los últimos scareware XX
Una recorrida por los últimos scareware XIX
Una recorrida por los últimos scareware XVIII
Una recorrida por los últimos scareware XVII
Una recorrida por los últimos scareware XVI
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

Jorge Mieres

Ver más

3.5.10

Campaña de phishing contra Claro Argentina

En este momento se está ejecutando una importante campaña de phishing dirigida a usuarios de Argentina que utilizan los servicios de la compañía de telefonía móvil Claro. La siguiente imagen es una captura del ataque:

La estrategia consiste en intentar que el usuario deposite la información de su tarjeta de crédito en la página fraudulenta cuando desea recargar saldo en su teléfono celular.

Cuando el usuario cae en la trampa y al momento de supuestamente procesarse la información, aparece un mensaje, como se ve en la siguiente imagen, mediante el cual se indica que la operación no pudo ser procesada, cerrando de esta manera el ciclo del ataque.

Sin embargo, el atacante deja la puerta abierta para que los usuarios desprevenidos, al ver que supuestamente la operación no fue exitosa por un problema entre la entidad bancaria y los datos de la tarjeta utilizada, pueda intentar nuevamente la transacción pero con otra tarjeta de crédito.


Para esta campaña se está alojando el material fraudulento en servidores vulnerados, pero también se están registrando dominios, del tipo xxxxx.claro.argentina.com.ar.myfw.us para personalizar el ataque y segmentarlo solo hacia los usuarios de Argentina.

Sin lugar a dudas cualquier tipo de servicio que sea ofrecido a través de Internet e implique un proceso de autenticación o solicite información privada de los usuarios, representa un potencial blanco para las estrategias de phishing, ya que actualmente este tipo de ataques no se limita solo a la obtención de información de índole bancaria.

Por lo tanto, la recomendación para los usuarios de Claro en Argentina es que al momento de acceder a este servicio, verifiquen la dirección web a la cual están accediendo.


Información relacionada
Phishing database VI
Página web del film Besouro vulnerada con ataques de phishing a PayPal
Web de Hooters Alemania comprometida con phishing a HSBC
Disección de un kit fraudulento. Wachovia phishing attack

Jorge Mieres

Ver más