Estrategia de infección agresiva de XP Police Antivirus

Luego de comentar sobre la campaña de Ingeniería Social visual empleada por el scareware XP Police Antivirus, nos encontramos con un condimento extra que también intenta explotar de lleno la Ingeniería Social en las características naturales del factor humano.

El mismo dominio desde donde se descarga del binario install.exe es empleado para diseminar otro troyano, a través de una falsa página de PornTube; codec.exe (MD5: a90e8a945f5cce31db00cac14a26418c), también perteneciente a la familia de XP Police Antivirus.

Al infectar el equipo, el troyano deja accesos directos en el escritorio del usuario que hacen referencia a los siguientes sitios web que se diseminan por spam:

Cheap Pharmacy Online >> http://www.quality-rx .com/?fid=1056
Cheap Software >> http://allisoftware .com
VIP Casino >> http://affiliate.goldvipclub .com/remote/SmartDownload.asp?affid=760
MP3 Download >> http://www. mp3sale .ru/?pid=507
SMS TRAP >> http://www.smstraper .com/go/MTEzOjA=/
Search Online >>http://www.adultwebfind .com/search .php?aid=16851&keyword=sex

Al acceder al acceso directo de VIP Casino se descarga el ejecutable SmartDownload.exe (MD5: 0f47f132f9e3d2790a6b27ffc2c502b0), y MP3 Download accede directamente al dominio http://xp-police-09 .com/lands/error/ desde donde se despliega una nueva estrategia de engaño simulando un error.

Al cabo de unos segundos, el usuario comenzará a experimentar el despliegue de ventanas emergentes con alertas sobre supuestas infecciones y solicitudes de registro del falso programa.

Sin embargo, hasta esta instancia, las acciones pueden ser vistas por la víctima, pero, en segundo plano siguen sucediendo otras acciones que involucran directamente la descarga de los componentes del scareware XP Police Antivirus.

Información relacionada
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual
Nueva estrategia de IS para diseminar scareware
Una recorrida por los últimos scareware IV

# pistus

Ver más

Phishing Kit. Creador automático de sitios fraudulentos

El ciberdelito se encuentra a la orden del día y los criminales informáticos depositan todos sus esfuerzos en sofisticar y automatizar sus estrategias delictivas para seguir alimentando toda la red de delincuentes que se nutren con los beneficios obtenidos a costa de los usuarios.

Una de las estafas más comunes hoy en día son los ataques de phishing donde uno de los métodos habitualmente empleados es la clonación de sitios web de entidades financieras y bancarias que buscan obtener datos sensibles a través del engaño expuesto sobre las debilidades del factor humano.

Sin embargo, la clonación de sitios web no siempre se encuentra limitada a páginas similares a las reales de las entidades bancarias sino que también pueden apuntar su cañón a sitios populares y conocidos como vimos en anteriores post.

Ahora, la pregunta es ¿cómo logran automatizar la creación de las páginas falsas?

Evidentemente, la respuesta ronda en programas que permiten crearlas de manera fácil y sencilla como al que pertenece la siguiente interfaz.

Estos programas permiten realizar la clonación de una página con un mínimo esfuerzo que se materializa en el simple hecho de copiar el código fuente de la web real, pasarlo al programa y hacer dos clics para obtener el sitio fraudulento, ofreciendo también la posibilidad de "tocar" el código y adaptarlo al beneficio que busque el atacante.

De esta manera logran obtener la estructura de archivos que comentábamos días atrás con la creación de un archivo de texto plano y un login.php, consiguiendo resultados como el siguiente que luego diseminan a través de Ingeniería Social.

Un sitio muy similar al legítimo donde prácticamente resulta muy difícil detectar el engaño para los usuarios menos experimentados en este tipo de estrategias delictivas.

Por otro lado, esto supone un riesgo latente ya que de esta manera, cometer estafas de este estilo no se limita a poseer conocimientos avanzados en informática sino que sólo basta con que una persona sepa copiar y pegar para obtener, a medida, su sitio fraudulento en pocos minutos.

Información relacionada
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web

# pistus

Ver más

Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual

Las estrategias de engaño a través de Ingeniería Social visual como lo son los casos en que se simula la visualización de videos en línea y se intenta descargar malware bajo la cobertura de la falta del códec necesario, se han transformado en moneda corriente y casi una regla que debería tener presente el usuario para escapar de una potencial infección.

En otra oportunidad les contaba cómo el scareware IE Defender empleaba una campaña similar para propagar su instalador utilizando la misma estrategia de engaño. En esta oportunidad, el turno de explotar esta técnica es para XP Police 2009.

Todos los dominios que involucran la campaña direccionan hacia http://sexybabes18 .com/video/ bajo la dirección IP 84.243.197.10. En esta instancia se descarga un archivo binario llamado install.exe (MD5: 6ba25f5f8ed91db92305f92beef1fe84) desde el sitio web de XP Police 2009.

Al acceder a la página web del scareware, que utiliza las direcciones IPs 213.163.65.10, 213.163.65.10 y 206.125.44.28, podemos comprobar que el archivo que se descarga es el mismo.

Los dominios actualmente explotados por XP Police 2009:

xp-police-09 .com
xp-police-antivirus .com
xp-police-engine .com
xp-police .com
xp-police-2009 .com
xp-police-av .com
mail.xp-police-antivirus .com
ns1.xp-police .com
ns2.xp-police .com
ns3.xp-police .com
ns4.xp-police .com
www.xp-police-09 .com
www.xp-police-antivirus .com
www.xp-police-av .com
www.xp-police-engine .com

Esta técnica de ataque se encuentra activamente explotada por uno de los tantos scareware que existen, con lo que cabe la posibilidad de que veamos más falsos programas de seguridad empleando esta estrategia.

Información relacionada
Nueva estrategia de IS para diseminar scareware
Una recorrida por los últimos scareware III

# pistus

Ver más

Compendio mensual de información. Febrero 2009

Pistus Malware Intelligence Blog
27.02.09 LuckySploit, la mano derecha de Zeus
25.02.09 Phishing Kit In-the-Wild para clonación de sitios web, versión 2
24.02.09 Una recorrida por los últimos scareware IV
23.02.09 Entrevista con Kevin, un defacer Argentino. Segunda parte
22.02.09 Zeus Botnet. Masiva propagación de su troyano. Segunda parte
21.02.09 Paper. Análisis de un ataque de malware basado en web
21.02.09 Google Grupos nuevamente utilizado para diseminar porno spam
20.02.09 Entrevista con Kevin, un defacer Argentino. Primera parte
19.02.09 Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
18.02.09 Zeus Botnet. Masiva propagación de su troyano. Primera parte
17.02.09 AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro
16.02.09 Phishing Kit In-the-Wild para clonación de sitios web
14.02.09 Waledac más amoroso que nunca
13.02.09 Estrategias de engaño, spam y códigos maliciosos
11.02.09 Waledac e Ingeniería Social en San Valentín
09.02.09 Explotando vulnerabilidades a través de SWF
07.02.09 Creación Online de malware polimórfico basado en PoisonIvy
05.02.09 Explotación de vulnerabilidades a través de JS
04.02.09 Una recorrida por los últimos scareware III
03.02.09 Propagación masiva de malware en falsos códecs
02.02.09 Drive-by Update para propagación de malware
01.02.09 MySpace suceptible a amenazas a través de XSS

Evilfingers Blog
27.02.09 LuckySploit, the right hand of Zeus
25.02.09 Phishing Kit In-the-Wild for cloning of web site, version 2
24.02.09 Zeus botnet. Mass propagation of trojan. Part two
21.02.09 Google Groups again used to spread porn spam
20.02.09 Whitepaper. Attacks - Weaknesses of security commonly exploited
20.02.09 Whitepaper. Análisis de un ataque de malware basado en web
18.02.09 Zeus botnets. Mass propagation of trojan. Part one
16.02.09 Phishing Kit In-the-Wild for cloning of web site
14.02.09 Waledac more loving than ever
12.02.09 Waledac, Social Engineering and San Valentine Day
10.02.09 Exploiting vulnerabilities through SWF
08.02.09 Creating Online polymorphic malware based PoisonYvi
06.02.09 Exploitation of vulnerabilities through JS
04.02.09 Most common safety violations
02.02.09 Drive-by Update for spreading malware
01.02.09 MySpace touchy to threats through XSS

ESET Latinoamérica Blog
27.02.09 Reporte de amenazas de Febrero
24.02.09 Malware a través de spam simula ser de Windows Live Messenger
18.02.09 Protección contra intentos de robo de información
16.02.09 Falso MSN Messenger SMS propaga malware
13.02.09 ¿Viagra para el día de los enamorados?
10.02.09 Listado de programas de seguridad falsos IV
06.02.09 Casinos online: jugando con el peligro
04.02.09 San Valentín como excusa para propagar malware
02.02.09 Reporte de amenazas de Enero

Información relacionada
Compendio mensual de información. Enero 2009

# pistus

Ver más

LuckySploit, la mano derecha de Zeus

LuckySploit es el nombre de un conjunto de scripts (Toolkit) diseñados para explotar diferentes vulnerabilidades y permitir la ejecución de binarios en el equipo víctima de manera arbitraria.

Actualmente, estos scripts, sometidos a ofuscación, están siendo utilizados por la botnet Zeus para reclutar zombies PCs a través de ataques Drive-by-Download.

Cuando se accede a la dirección web, sólo se visualiza una página en blanco; sin embargo, al chequear su código fuente aparece un código escrito en JavaScript como el siguiente:

El script se encuentra cifrado con el algoritmo RSA. Esta información se visualiza al final del código.

Otro dato interesante es que el script sólo se visualiza una sola vez, es decir, si se intenta acceder nuevamente a la misma dirección, al chequear nuevamente el código fuente del HTML, el script ya no se encuentra disponible.

Algunos de los dominios que contienen a LuckySploit se encuentran reflejados a continuación:

r-state .com/ equi/
trafffive .cn/wait/ ?t=15
trafffive .cn/bm/ ?t=15
directlink9 .cn/wait/ ?t=15
directlink4 .cn/bm/ ?t=15
directlink2 .cn/wait/ ?t=15
directlink1 .cn/bm/ ?t=15
directlink0 .cn/wait/ ?t=15
superioradz .info/opis3/ ?t=2
superioradz .info/opis2/ ?t=2
rodexcom .org/parus/ ?t=5
dvlorg .net/parus/ ?t=25
top.sei-keine .com/u-store/ ?t=1
statclick .net/main/ ?t=1
deinglaube .com/ images/
202.73.57.6/ tomi
federalreserve.banknetworks .net/bb/ ?t=2
fuadrenal .com/mito/ ?t=2
fuck-lady .com/prn/index .php
hello-to-you .net/rttz/ ?t=6

Cabe aclarar que muchas de estas URL's se encuentran activas, por lo tanto, si decide acceder a cualquiera de ella, tenga presente las medidas de seguridad adecuadas para el caso en cuestión.

En algunos script, al desofuscarlo, claramente se lee al final del mismo un mensaje que dice:

attack_level = 0;;
try {
f = 'Welcome to LuckySploit:) \n ITS TOASTED';

De esta manera, Zeus se encuentra adhiriendo equipos a su red maliciosa de computadoras infectadas.

Información relacionada:
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Zeus Botnet. Masiva propagación de su troyano. Primera parte
Ataque de malware vía Drive-by-Download

# pistus

Ver más