MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

31.12.09

Compendio mensual de información. Diciembre 2009

Pistus Malware Intelligence - English version

28.12.09 Exploit Pack y su relación con el rogue

27.12.09 Testimonios sobre scareware y estrategia de credibilidad
25.12.09 Siberia Exploit Pack. Otro paquete de explois In-the-Wild
24.12.09 Anti-Virus Live 2010. Chateando con el enemigo
20.12.09 Una recorrida por los últimos scareware XIX
15.12.09 RussKill. Aplicación para realizar ataques de DoS
09.12.09 Fusión. Un concepto adoptado por el crimeware actual II
05.12.09 Campaña de desinformación para propagar malware
03.12.09 Una breve mirada al interior de Fragus
01.12.09 Campaña de propagación de Koobface a través de Blogspot

Malware Disasters Team - A division of Malware Intelligence
26.12.09 Desktop Hijack by Internet Security 2010. Your System Is Infected!
14.12.09 LockScreen. Your computer is infected by Spyware!!!
13.12.09 Waledac/Storm. Past and present a threat
13.12.09 Symbiosis malware present. Koobface
05.12.09 Swizzor reload. Adware and control of P2P networks

Evil Fingers Blog

25.12.09 Anti-Virus Live 2010. Talking with the enemy
17.12.09 RussKill. Application to perform denial of service attacks
10.12.09 Fusion. A concept adopted by the current crimeware II
06.12.09 Disinformation campaign to spread malware
04.12.09 A brief glance inside Fragus
01.12.09 Koobface campaign spread through Blogspot

Offensive Computing
27.12.09 Siberia Exploit Pack. Another package of explois In-the-Wild
17.12.09 RussKill. Application to perform denial of service attacks
05.12.09 DDoS Botnet. New crimeware particular purpose

ESET Latinoamérica Blog

29.12.09 ZeuS utiliza el nombre de ESET NOD32 para reclutar zombis
24.12.09 Vuelven a dar batalla dos conocidos adware
23.12.09 Neon Exploit System. Un viejo crimeware aún In-the-Wild
12.12.09 ZeuS utiliza el nombre de Amazon para reclutar zombis
03.12.09 Entrevista sobre el spam
02.12.09 Koobface vuelve al ataque en navidad


Información relacionada
Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo
- Abril - Marzo - Febrero - Enero

Jorge Mieres

Ver más

28.12.09

Exploit Pack y su relación con el rogue

Las actividades fraudulentas poseen relación entre sí a través de "asociados" de negocio en el cual cada uno de ellos oficia a modo de célula dentro de una misma estructura orgánica, complementando así una empresa dedicada a tales actividades ilícitas.

En este sentido, el rogue (también denominado scareware), cuenta con un volumen importante de "afiliados" que se encargan de la distribución de los códigos maliciosos. De hecho, un reciente estudio del FBI señaló que las perdidas estimativas a causa del rogue ascienden a USD 150 millones.

Esto demuestra por qué todas aquellas viejas estrategias de Ingeniería Social que muchas veces dejan una sensación de trivialidad aún hoy son muy efectivas; y por qué muchos profesionales del ámbito criminal, que buscan ampliar las actividades delictivas y sus ganancias, migran sus esfuerzos en combinar las estrategias de diseminación con técnicas del tipo BlackHat SEO e incluso, con Exploits Pack como en este caso.

Un caso concreto es el Exploit Pack de reciente aparición denominado Siberia Exploit Pack que dentro de su estructura incorpora un archivo llamado file.exe. Cuando el usuario accede a uno de los dominios utilizados por el crimeware, un exploit (generalmente a través de archivos pdf) se encarga de explotar determinada vulnerabilidad, descargar un malware desde un dominio preestablecido y ejecutarlo.

Una vez que el malware infecta el sistema, realiza un Desktop Hijack mostrando la advertencia de una infección a través del mensaje "YOUR SYSTEM IS INFECTED!".

Luego de ello, el sistema comienza a desplegar ventanas emergentes (característica propia del adware) convirtiendo el sistema en el nido del rogue y punto de referencia de una botnet. Sin embargo, independientemente de la infección, esas ventanas emergentes forman parte de la campaña de engaño y de acción psicológica del malware.

Por un lado, porque el supuesto antivirus instalado lejos de solucionar los problemas, los empeora descargando más códigos maliciosos o abriendo los puertos para que accedan otras amenazas. Por otro lado, porque las advertencias de infección, además de ser agresivas, son completamente falsas, y el objetivo es "asustar" al usuario para que termine "comprando" el falso antivirus.

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
Anti-Virus Live 2010. Chateando con el enemigo
Una recorrida por los últimos scareware XIX
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot

Jorge Mieres

Ver más

27.12.09

Testimonios sobre scareware y estrategia de credibilidad

Una de las estrategias utilizadas por los propagadores de scareware (rogue) es intentar atraer la confianza de los usuarios a través de "testimonios" supuestamente realizados por personas que ya habrían adquirido la "solución" y que por intermedio de estos manifiestan su "gran satisfacción por el mismo".

Sin embargo, sabemos muy bien que sólo es parte de un engaño que busca complementar la estrategia general de propagación/infección, y que si instalamos ese programa vamos a terminar con el sistema infectado por un scareware. En consecuencia, ¿no se preguntan quienes son los que afirman la eficacia de esta falsa herramienta antivirus?

En función de la imagen, donde debajo de cada frase aparece el supuesto nombre (incompleto) del responsable de la misma, quizás podamos deducir que se trata de las señoras y señores:

• Dave C. = Dave Conficker
• Beth P. = Beth Phoenix
• Lisa W. = Lisa Waledac
• Melissa H. = Melissa Hupigon
• Paul M. = Paul Mebroot
• Jason C. = Jason Crum
• Pat J. = Pat Justexploit
• Matt E. = Matt Eleonore
• Roger F. = Roger Fragus
• Sam P. = Sam Piosonivy
• Jamie V. = Jaime Virut
• Tracey K. = Tracey Koobface
• Brian A. = Brian Adrenaline
• Sally V. = Sally Virtumonde
• John R. = John Ransomware
• Lauren R. = Lauren Rustock

El malware siempre tomando "personalidades" como estrategia y cobertura donde sólo ellos podrían hablar maravillas de un colega fraudulento ;-P

Información relacionada
Anti-Virus Live 2010. Chateando con el enemigo
Una recorrida por los últimos scareware XIX
Campaña de desinformación para propagar malware
Campaña de propagación de Koobface a través de Blo...

Jorge Mieres

Ver más

25.12.09

Siberia Exploit Pack. Otro paquete de explois In-the-Wild

Siberia Exploit Pack es un nuevo paquete destinado a explotar vulnerabilidades y reclutar zombis originario, como es fácil de deducir por su nombre y como es habitual en este rubro del negocio clandestino de crimeware, de Rusia. Fue lanzado al mercado casi de forma conjunto con RussKill, una botnet de propósito particular también de reciente aparición.

Por el momento, la venta de Siberia Exploit Pack es cerrada. Las versiones que se comparten en algunos servidores fraudulentos son privadas y su compra sólo es accesible por intermedio de "garantes"; es decir, otros delincuentes (generalmente botmaster, spammers, phishers, etc.) que recomiendan a determinada persona que desea comprar el paquete.

De esta manera se mantiene un determinado control y nivel de confianza entre los desarrolladores del Exploit Pack y sus compradores. Esto también explica por qué del ciclo cerrado en cuanto a su utilización.

La estructura de este crimeware se compone de varios archivos php y un pack de exploits predeterminados. Entre los archivos php se destacan:
  • stat.php: es el panel de acceso a la administración vía http.
  • index.php: contiene un elemento “refresh” que genera un refresco continuo redireccionando a Google.
  • exe.php: contiene las instrucciones para la descarga un binario llamado por defecto file.exe y además contiene un script que redirecciona a un exploit para MDAC contenido en el archivo mdac.php. En función del parámetro que se pase al php descarga también archivos pdf.
  • config.php: contiene los parámetros de configuración del paquete. Se encuentra en la carpeta por defecto llamada inc.
Los archivos que se diseminan a través de este pack y explotando otras vulnerabilidades son:
En este caso, ambos archivos pdf (cuyo nombres los crea de forma aleatoria) explotan las vulnerabilidades CVE-2007-5659 (Adobe Collab overflow); CVE-2008-2992 (Adobe util.printf overflow); CVE-2009-0927 (Adobe getIcon). Mientras que el archivo file.exe crea otro llamado winlogon86.exe (md5:4217e91f65c325c65f38034dc9496772 ).

La "moda" de los paquetes de exploit no termina y parecería que la categorización de "moda", ya le queda chico.

Desde que se comenzó a masificar la utilización de los Exploits Pack (mediados del 2007), son muchas las alternativas de este estilo, tanto de propósito general como de propósito particular, que se ofertan a través de un mercado clandestino mediante el cual no solo se retro-alimenta el negocio del malware con "recursos" eficaces y sencillos (en este caso Siberia Exploits Pack) que se adaptan a sus necesidades delictivas sin mayores esfuerzos, sino que el mismo desarrollo de crimeware como los exploit pack, conjuntamente con las botnets que permiten crear y administrar, constituye un eslabón importante en la cadena delictiva que difícilmente los caber-criminales dejen a un costado.

Esto, evidentemente da una idea lo suficientemente concreta como para entender que estamos frente acciones y estrategias de "negocio" sostenida por profesionales en materia de delitos informáticos.

Información relacionada
RussKill. Aplicación para realizar ataques de DoS
DDoS Botnet. Nuevo crimeware de propósito particular
JustExploit. Nuevo Exploit Kit que explota Java
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
Automatización en la creación de exploits

Jorge Mieres

Ver más

24.12.09

Anti-Virus Live 2010. Chateando con el enemigo

Generalmente se tiene la falsa creencia de que los códigos maliciosos constituyen problemas triviales que cualquier técnico soluciona con solo formatear el sistema o adquirir alguno de los reconocidos antimalware que ofrece el mercado antivirus de la actualidad.

Sin embargo, por un lado, la realidad es que detrás del desarrollo de malware se esconde un negocio grandísimo en el cual día a día se suman más "asociados". Por otro lado, qué pasa cuando ese antivirus que planeamos comprar es todo lo contrario.

Este es el caso del Anti-Virus Live 2010 o lo que es lo mismo, Anti-Virus Elite 2010, un malware del tipo scareware (o rogue), que deja en completa evidencia que los procesos y mecanismos mediante los cuales se engaña a los usuarios para robarles dinero se encuentran bien aceitados y muy bien pensados.

En primera instancia, como es habitual en este tipo de amenazas, la estrategia se encuentra apoyada por una página web que es utilizada de "carnada" para atraer a las potenciales víctimas, argumentando todo tipo de justificaciones para "demostrar" cierta credibilidad en el falso antivirus, lo que complementa una típica campaña de desinformación.

Hasta el momento, nada interesante. Salvo, por la posibilidad de solicitar asistencia vía chat. Interesante. Comprobemos entonces si este condimento es legítimo… Sí, lo es.

En consecuencia, se estableció la comunicación a través de esta opción con la sorpresa de que inmediatamente obtuvimos respuesta del otro lado. A continuación se puede aprovechar la corta conversación vía chat.

Básicamente nos comentó Dennis, el negociante, que entre otras cosas el supuesto antivirus es compatible con todas las versiones de Windows, que su valor es de USD 27, que sólo soporta el idioma inglés y no existe versión para empresas y que elimina conficker sin problemas.

Analicemos brevemente estos puntos. Evidentemente, el scareware debe ser compatible con todas las versiones de Windows ya que es ese puntualmente el público al cual está orientada la amenaza. ¿Por qué? Sencillamente porque más del 80% de las personas consumen Windows como principal sistema operativo en entornos hogareños, donde la potencialidad de encontrar una víctima concreta se incrementa. De esa manera es mucho más factible "cerrar negocio".

Por esa misma razón no existe versión para GNU/Linux, incluso, ni siquiera versión orientada a empresas; ya que generalmente, las compañías cuentan con un mayor nivel de seguridad donde, probablemente, el scareware no encuentre resultados positivos.

¿Por qué inglés y no Ruso? Porque el inglés es el tercer idioma más utilizado. Su costo, USD 27, representa un valor competitivo que se encuentra acorde al costo promedio de los programas antivirus legítimos. Y con respecto a conficker, si preguntábamos por koobface, la respuesta hubiera sido la misma.

Una dato más que interesante y que ayuda a comprender en su justa medida la magnitud del negocio clandestino de malware, es el error cometido por el "afiliado" Dennis al momento de solicitarle la dirección para comprar la falsa solución. Nos ofrece la url registryfix.com/purchase y al momento de comentar que no se trata de la supuesta solución en cuestión, hace la salvedad ofreciendo la url correspondiente antivirus-elite.com/purchase.

Sin embargo, nosotros estábamos tratando de cerrar "negocio" por Anti-Virus Live 2010 y no por Anti-Virus Elite 2010, dejando en evidencia que se trata de la misma amenaza bajo nombres diferentes. Incluso, que el mismo "asociado" maneja y comercializa diferentes alternativas bajo modalidad similares. En este caso, ofreciendo también la venta fraudulenta de Registry Fix, otro scareware asociado a NoAdware y ErrorClean.

Desde un punto de vista más técnico, el dominio de esta amenaza se encuentra en la dirección IP 204.232.131.12, alojado en la ISP Rackspace, ubicada en la ciudad de Hoboken en Estados Unidos bajo el AS27357.

Según el historial de este AS, las actividades generadas por códigos maliciosos son importantes

Desde el sitio web se descarga un ejecutable llamado setup.exe (MD5: C50DC619E13345DEC2444B0DE371DFD4) que corresponde al instalador de scareware con un bajo índice de detección.

Como podemos apreciar, los delincuentes informáticos no se cansan de propagar amenazas cada vez más agresivas que acompañan el proceso de infección a través de campañas de marketing, incluso, muy similares a las utilizadas por muchas compañías antivirus.

Información relacionada
Una recorrida por los últimos scareware XIX
Green IT utilizado para la propagación de scarewar...
Scareware. Repositorio de malware In-the-Wild
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot

Jorge Mieres

Ver más

20.12.09

Una recorrida por los últimos scareware XIX

Doctor Alex
MD5: 4f2bdddc4b71a428ec2e964cfed9f11a
IP: 69.89.20.48
United States United States Provo Bluehost Inc
Dominios asociados
doctor-alex.com

Result: 7/40 (17.50%)

Safety Anti-Spyware

MD5: 848aea51e9d26089982c9b820c2ea4ba
IP: 212.117.177.18
Luxembourg Luxembourg Luxembourg Root Esolutions
Dominios asociados
safetyantispywareshop.com

Result: 1/41 (2.44%)


Antivirus Doctor

MD5: f43835e6ca25095afe53480d30a6181a
IP: 174.37.110.224
location
Dominios asociados
antivirusdoctor.net

Result: 1/41 (2.44%)


antikeep.com (83.233.30.66) - Sweden Stockholm Serverconnect I Norrland
iguardpc.com (83.233.30.66) - Sweden Stockholm Serverconnect I Norrland
quickscansecurity.cn, photoscansecurity.cn/antimalware.exe (193.169.234.27) - Jamaica Jamaica Titan-net Ltd
erlsoft.in (91.212.107.38) - Cyprus Cyprus Nicosia Riccom Ltd
allinoneprotection1.com/scan3/(...)MPAFM&video... (192.41.60.10) - United States Lindon Icon Developments
top2009securityf.cn/download/ (204.12.252.101) - United States Kansas City Wholesale Internet Inc
malwarebytesy0.com (96.9.180.102) - United States Scranton Network Operations Center Inc
apart-leo.com.uvirt3.active24.cz/adv/security.php?b=1003 (81.95.96.126) - Czech Republic Prague Active24-cz-servers-net
dammekro.com/webcfg/security.php?b=1003 (195.249.40.157) - Denmark Denmark Koege Teaminternet-net
siteadware.com (85.12.25.111) - Netherlands Eindhoven Web10 Ict Services
theantyspywaretool.com/index.php?affid=92800 (78.129.166.11) - Cayman Islands Cayman Islands Cayman British Islands Offshore Network
1uktimes.cn/go.php?id=2004&key=ff0057594&d=1 (91.212.226.186) - Russian Federation Artem Netd-lux-network

Información relacionada
Una recorrida por los últimos scareware XVIII
Una recorrida por los últimos scareware XVII
Una recorrida por los últimos scareware XVI
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

Ver más

15.12.09

RussKill. Aplicación para realizar ataques de DoS

Conceptualmente hablando, un ataque de DoS (Denegación de servicio) básicamente consiste en bombardear con solicitudes un servicio o recurso informático a fin de saturarlo y que el sistema no pueda procesar más información, de esta manera esos recursos y servicios quedan inaccesibles "denegando" el acceso a cualquiera que los solicite.


Desde el punto de vista de seguridad informática, los ataques de Denegación de Servicio constituyen una problemática importante ya que muchas botnets se encuentran diseñadas para automatizar estos ataques, sobre todo las de propósito particular, aprovechando la capacidad computacional que ofrece la red de zombis. En este caso, el ataque es denominado Denegación de Servicio Distribuido (DDoS).

Por otro lado, bajo el marco del concepto de ciberguerra (Cyber-Warfare), este tipo de ataque forma parte del armamento "bélico" virtual a través del cual las hipótesis de conflictos lo presentan entre sus requerimientos para neutralizar servicios vitales de un Estado.

RussKill es una aplicación web que se cataloga dentro de estas actividades y que a pesar de ser sumamente sencilla, tanto en las funcionalidades como en el modo de uso, representa un ataque que puede ser sumamente efectivo y difícil de detectar.

Como es habitual en el crimeware actual, la aplicación web es de origen ruso y presenta una serie de campos con información sobre cómo y contra quién llevar a cabo el ataque, permitiendo configurar la secuencia de paquetes, es decir, el flujo (Flows) en cantidad. La opción "Hide url"es una medida auto-defensiva que pretende evitar que el servidor sea detectado.

Si bien existen varios métodos de ataques de DoS, RussKill hace uso de los ataques DoS del tipo HTTP-flood y SYN-flood. En ambos casos se busca inundar los servidores víctimas a través de peticiones http y paquetes con direcciones IP de origen falsas respectivamente.

Como lo he mencionado en un principio, los ataques de denegación de servicio son un peligro latente para cualquier sistema de información, independientemente de la plataforma que soporte los servicios, y este tipo de aplicaciones, en este caso web, demuestra la facilidad con la que un ataque de estas características puede ejecutarse.

Información relacionada
DDoS Botnet. Nuevo crimeware de propósito particular

Jorge Mieres

Ver más

9.12.09

Fusión. Un concepto adoptado por el crimeware actual II

Cada vez es más habitual que en los procesos de investigación nos encontremos con que en un mismo servidor se alojan, "operando" de forma activa, varios crimeware del tipo Exploit Pack desde los cuales controlan y administran las zombis que forman parte de su negocio fraudulento.

Hace un tiempo comentábamos sobre ZeuS y ElFiesta conviviendo en un mismo entorno, y cumpliendo los mismos objetivos.

En esta oportunidad, la fusión se encuentra entre Fragus (un crimeware cada vez más conocido) y ElFiesta. Ambos paquetes se encuentran alojados en el mismo servidor. Sin embargo, aunque cabe la posibilidad, esto no significa que estén siendo operados por el mismo botmaster.

El dominio en el cual se encuentran alojados es el siguiente:

En el caso de Fragus se encuentra en http://hotgirldream.net/far/ y en el caso de ElFiesta, se aloja en otra carpeta, la ruta es http://hotgirldream.net/content/. Como podemos apreciar, comparten el servidor, cuya dirección IP es 210.51.166.233, localizado en Yizhuang Idc Of China Netcom, Beijing.

Esto demuestra que las oportunidades de "negocio" no pasan solamente por la venta de crimeware, malware, exploit pack y demás actividades fraudulentas, sino que otra de las alternativas es ofrecer la infraestructura que permita, en función de su capacidad computacional, optimizar los procesos delictivos.

Información relacionada
Fusión. Un concepto adoptado por el crimeware actual
Fragus. Nueva botnet framework In-the-Wild
ZeuS Botnet y su poder de reclutamiento zombi
ElFiesta. Reclutamiento zombi a través de múltiples amenazas

Jorge Mieres

Ver más

5.12.09

Campaña de desinformación para propagar malware

La desinformación consiste básicamente en falsear o manipular la información de manera tal que quien la recibe termine creyendo en algo completamente falso, y de lo cual el originador obtiene alguna ventaja. Por ejemplo, el rumor es una herramienta empleada en las campañas de desinformación. A su vez, la desinformación es una herramienta que permite obtener información útil en tiempo y forma (Inteligencia).

Trasladado este concepto al ámbito informático, no es ni más ni menos que una metodología de Ingeniería Social que cada vez más utilizan los desarrolladores de códigos maliciosos para intentar atraer la confianza de los usuarios y aprovecharse así de esa condición para ejecutar el proceso de infección.

Habitualmente lo vemos en las páginas que diseminan malware del tipo scareware (también conocido como rogue), donde encontramos imágenes de certificaciones como Virus Bulletin o AV-Comparatives, o algunas otras como PC Magazine o PC World que si bien no cumplen la misma función que las anteriormente ya que son revistas conocidas que gozan de "confianza" entre el público.

Otra alternativa centra sus esfuerzos en tratar de demostrar que esa "solución" (scareware) es la mejor. Esto se hace a través de falsas comparativas donde se pone en tela de juicio los niveles de detección de compañías antivirus ampliamente conocidas en el mercado.

Ambas estrategias de engaño apelan a lo que se conoce bajo el concepto de autoridad que representan estas certificaciones y publicaciones en el campo "real" de la seguridad antivirus y de la tecnología informática respectivamente.

En este sentido, recientemente he detectado otra metodología de engaño que también se encuentra orientada a emitir desinformación con el objetivo de incentivar a los usuarios a creer en la información y actuar en consecuencia.

Se trata de simular que el archivo ofrecido se encuentra libre de códigos maliciosos, apelando también a la autoridad, pero en este caso, de organizaciones que permiten verificar la integridad de los archivos a través de un proceso online que somete los archivos a las soluciones antivirus con mayor confianza en el mercado. Por ejemplo, servicios como VirusTotal o VirScan. A continuación vemos una de las capturas.

Los dominios involucrados se encuentran alojados en la IP 213.5.64.20, ubicada en los Países Bajos (Netherlands Altushost Inc) en pero no todos diseminan la amenaza. Entre ellos:

safehostingsolutions.com/download.html
fileaddiction.com/download.html
freedatatransfer.com/download.html
freedownloadthanks.com/download.html
megasecuredownload.com/download.html
qualityupload.com/download.html

Los archivos que se descargan tienen los siguientes nombres:
  • Hpack Generator.exe (91b31ea8c551397cd5b1d38ec1aa98dd) - Result: 8/40 (20.00%)
  • UAV Generator.exe – Idem
  • Knight Generator.exe – Idem
  • LG Generator.exe – Idem
  • Kings Generator.exe – Idem
  • DBlocks Generator.exe (53e3256bef0352caf794b641f93a32d5) - Result: 6/40 (15%)
Como podemos notar, que además de la nueva propuesta de engaño que a pesar de ser bastante trivial cuenta con un alto impacto de efectividad, el nivel de detección en los dos códigos maliciosos es muy bajo; representando sólo entre el 15% y 25% de 41 motores antivirus.

No es para alarmarse pero sí para estar atentos.

Información relacionada
Una recorrida por los últimos scareware XVIII
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
Técnicas de engaño que no pasan de moda

Jorge Mieres

Ver más

3.12.09

Una breve mirada al interior de Fragus

Fragus es una de las aplicaciones web desarrolladas para la gestión de zombis, de origen ruso, que con poco tiempo de vida se ha insertado al mercado clandestino de crimeware con un precio accesible (USD 800) si tenemos en cuenta las capacidades delictivas que ofrece.

Este crimeware se compone básicamente de cinco secciones: Statistics, Files, Sellers, Traffic links y Preferences. Cada una de ellas se encarga de una tarea específica y todas se complementan entre ellas.

En el panel Files se encuentra la manipulación del archivo ejecutable que será diseminado.

En Sellers encontramos la gestión de exploits. En este caso, correspondiente a la primera versión de Fragus.

En cuanto al módulo Traffic links, permite realizar la "previa" configurando el iframeado y el script que será inyectado en la página que oficiará de "conductor" para la ejecución de los exploits configurador en el panel previo, que buscaran vulnerabilidades en el equipo víctima.

Sin embargo, uno de los patrones que se identifican en cada uno de los paquetes de este estilo, es el módulo estadístico. Este módulo proporciona la información de inteligencia necesaria para que el botmaster obtenga un reporte detallado no solo de los equipos zombis sino también de ciertos aspectos necesarios para conocer en detalle qué exploit deberá ejecutar.

Otro de los patrones interesantes que podemos deducir en función de esta información es que el sistema operativo más explotado es Windows XP con Internet Explorer, que el exploit con mayor eficacia, a pesar de ser muy antiguo (MS06-014) es el que aprovecha la vulnerabilidad en MDAC y que entre los países con mayor tasa de infección son EEUU y Korea.

Este representa un escenario común donde quizás, el factor de relevancia, es la deducción de que tal vez lo común de la situación se debe al importante volumen de usuario que utiliza el sistema operativo de Microsoft de forma no licenciada, lo cual conlleva a no actualizarlo.

Por último, otro importante factor que no debe pasar desapercibido es que a los ciber-delincuentes no les interesa la controversia que existe en torno a los niveles de seguridad que ofrece uno u otro sistema operativo (Windows, GNU/Linux y Mac OS) sino que todos entran en la mismo categoría de "potenciales víctimas" porque la vulnerabilidad explota en capa 7.

Información relacionada
Fragus. Nueva botnet framework In-the-Wild
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
T-IFRAMER. Kit para la inyección de malware In-the-Wild
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

ZeuS Botnet y su poder de reclutamiento zombi
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Liberty Exploit System. Otra alternativa (...) para el control de botnets

Jorge Mieres

Ver más

1.12.09

Campaña de propagación de Koobface a través de Blogspot

Una masiva campaña de propagación del gusano koobface se encuentra In-the-Wild utilizando como estrategia blogs generados desde el servicio Blogspot.

Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad.

Los dominios de blogspot empleados como cobertura para la propagación son:

pannullonumair.blogspot.com
haladynalatosha.blogspot.com

macdougalmuskan.blogspot.com

mailletjamaica.blogspot.com

ledrewrooney.blogspot.com

brasenoktayoktay.blogspot.com

toludestany.blogspot.com

edgarbillison.blogspot.com

piotrowiczlyanne.blogspot.com

brochoiredeedee.blogspot.com

decuyperantohny.blogspot.com

derrenpassini.blogspot.com

elsenelsenumthun.blogspot.com

elsyelsysalah.blogspot.com

fanjonappuappu.blogspot.com

fredrikadantos.blogspot.com

genelleabril.blogspot.com

gilkerharjyot.blogspot.com

hadzilashawn.blogspot.com

insalacotecwyn.blogspot.com

janitasaels.blogspot.com

jodelinscheufler.blogspot.com

jones-allentammey.blogspot.com

jurgisbooty.blogspot.com

karanjeetisoardi.blogspot.com

dralleboyeboye.blogspot.com

maidenhermann.blogspot.com

messer-bustamantetimpriss.blogspot.com

murachaniananoushka.blogspot.com

nevnevsculthorpe.blogspot.com

parrisvistisen.blogspot.com

porierkunlekunle.blogspot.com

rotermundraimon.blogspot.com

sharonyacorvil.blogspot.com

sodorabardan.blogspot.com

tendaiblunk.blogspot.com

turskeybrianna.blogspot.com

zhuochengbate-pelletier.blogspot.com

ziziziziboyter.blogspot.com


Quien accede a alguno de estos dominios es redireccionado a una página que simula la típica pantalla de YouTube. A continuación vemos una captura.

Inmediatamente después, se intenta descargar un binario llamado "setup.exe" (md5 6d8ac41c64137c91939cced16cb5f2fe) que posee una tasa de detección media baja. Este binario, a su vez se encarga de descargar y ejecutar otros códigos maliciosos.
Cada uno de estos archivos son descargados desde dominios del estilo "homemadesandwiches.com/.sys/?getexe=ff2ie.exe".

El binario v2captcha.exe se encarga de romper el captcha que solicita blogspot para el registro de blogs, creando de manera aleatoria y masiva los mismos, y redireccionando luego a la descarga de koobface a través de, como lo mencioné en un principio, una falsa página de YouTube que utiliza la misma estrategia de ingeniería social visual utilizada en otras campañas de propagación similares.

Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus.

Información relacionada
Simbiosis del malware actual. Koobface

Jorge Mieres

Ver más