MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

30.6.11

JAVA Drive-by [infection] On Demand

JAVA es una de las tecnologías informáticas con mayor inserción en el plano delictivo debido a su condición de "hibrido". Lo que la transforma en un vector multiplataforma altamente explotado para la propagación de todo tipo de códigos maliciosos.

Incluso, el crimeware moderno incluye una batería de exploits creados para explotar versiones vulnerables de JAVA a través de Exploit Packs, y de hecho, conjuntamente con los archivos PDF,  los exploits para JAVA son los que cuentan con mayor tasa de éxito.

Ahora bien, Drive-by es una de las técnicas más empleadas para propagar y automatizar el proceso de infección vía web. Sobre todo a través de páginas web que prometen la visualización de video vía streaming o estrategias de ingeniería social visual similares. La combinación de esta metodología con JAVA da como resultado, sencillamente,  un Java Drive-by; es decir, técnicamente lo mismo pero empleando lenguaje y recursos JAVA. ¿Alguna vez vieron algunos de estos templates?...


...Seguramente muchas veces!
Diariamente vemos estas páginas web que suelen estar alojadas en sitios que ofrecen almacenamiento gratuito de archivos, pero que ocultan las instrucciones necesarias para "agilizar" el proceso de infección, empleando simplemente un Applet de JAVA. En orden cronológico, las imágenes corresponden a las opciones de: Photo Gallery, Camera Chat y Video Streaming respectivamente. Todas, creadas de forma automatizada a través de iJAVA.

iJAVA es un generador On Demand (Java Drive-by Generator) de origen Árabe, que desde su primera versión contó con una muy buena aceptación en el ámbito delictivo, porque permite con solo unos clicks, crear una sencilla página web, asociar a este sitio un malware personalizado y subir automáticamente la página a uno de estos servicios de almacenamiento gratuito. Una dosis de ingeniería social visual extremadamente trivial pero lamentablemente extremadamente efectiva.

Versión 1 de iJAVA. En solo tres pasos los propagadores de malware crean una amenaza personalizada acompañando la acción con una dosis de ingeniería social.

Versión 2 de iJAVA. Agregando una serie de "extras", al igual que la versión anterior, la creación de la estrategia se define en solo tres pasos básicos.

Algunos ejemplos actuales:



A  diferencia de la primera versión, la segunda generación permite personalizar un propio template, con lo cual el diseño que se utiliza para "la captación" de víctimas, se limita solo a la imaginación del atacante, pudiéndose lograr estrategias de infección como la siguiente:


El ahorro de tiempo también es un factor importante para los ciber-delincuentes. Y con aplicaciones de este estilo, consiguen la automatización necesaria para el ahorro de costes en términos de tiempo, y claro, también ganancias en términos económicos, ya que a pesar de la trivialidad de la maniobra, los delincuentes suelen utilizarlas en campañas asociadas a negocios del tipo PPI (Pay-per-Install) para incrementar la economía a través de programas de afiliados.

Información relacionada:
Automatización de procesos anti-análisis a través de crimeware
Automatización de procesos anti-análisis II
Automatización en la creación de exploits
Automatización en la creación de exploits II

0 comentarios: