Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 31 de diciembre de 2009

Compendio mensual de información. Diciembre 2009

Pistus Malware Intelligence - English version

28.12.09 Exploit Pack y su relación con el rogue

27.12.09 Testimonios sobre scareware y estrategia de credibilidad
25.12.09 Siberia Exploit Pack. Otro paquete de explois In-the-Wild
24.12.09 Anti-Virus Live 2010. Chateando con el enemigo
20.12.09 Una recorrida por los últimos scareware XIX
15.12.09 RussKill. Aplicación para realizar ataques de DoS
09.12.09 Fusión. Un concepto adoptado por el crimeware actual II
05.12.09 Campaña de desinformación para propagar malware
03.12.09 Una breve mirada al interior de Fragus
01.12.09 Campaña de propagación de Koobface a través de Blogspot

Malware Disasters Team - A division of Malware Intelligence
26.12.09 Desktop Hijack by Internet Security 2010. Your System Is Infected!
14.12.09 LockScreen. Your computer is infected by Spyware!!!
13.12.09 Waledac/Storm. Past and present a threat
13.12.09 Symbiosis malware present. Koobface
05.12.09 Swizzor reload. Adware and control of P2P networks

Evil Fingers Blog

25.12.09 Anti-Virus Live 2010. Talking with the enemy
17.12.09 RussKill. Application to perform denial of service attacks
10.12.09 Fusion. A concept adopted by the current crimeware II
06.12.09 Disinformation campaign to spread malware
04.12.09 A brief glance inside Fragus
01.12.09 Koobface campaign spread through Blogspot

Offensive Computing
27.12.09 Siberia Exploit Pack. Another package of explois In-the-Wild
17.12.09 RussKill. Application to perform denial of service attacks
05.12.09 DDoS Botnet. New crimeware particular purpose

ESET Latinoamérica Blog

29.12.09 ZeuS utiliza el nombre de ESET NOD32 para reclutar zombis
24.12.09 Vuelven a dar batalla dos conocidos adware
23.12.09 Neon Exploit System. Un viejo crimeware aún In-the-Wild
12.12.09 ZeuS utiliza el nombre de Amazon para reclutar zombis
03.12.09 Entrevista sobre el spam
02.12.09 Koobface vuelve al ataque en navidad


Información relacionada
Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo
- Abril - Marzo - Febrero - Enero

Jorge Mieres

Ver más

lunes, 28 de diciembre de 2009

Exploit Pack y su relación con el rogue

Las actividades fraudulentas poseen relación entre sí a través de "asociados" de negocio en el cual cada uno de ellos oficia a modo de célula dentro de una misma estructura orgánica, complementando así una empresa dedicada a tales actividades ilícitas.

En este sentido, el rogue (también denominado scareware), cuenta con un volumen importante de "afiliados" que se encargan de la distribución de los códigos maliciosos. De hecho, un reciente estudio del FBI señaló que las perdidas estimativas a causa del rogue ascienden a USD 150 millones.

Esto demuestra por qué todas aquellas viejas estrategias de Ingeniería Social que muchas veces dejan una sensación de trivialidad aún hoy son muy efectivas; y por qué muchos profesionales del ámbito criminal, que buscan ampliar las actividades delictivas y sus ganancias, migran sus esfuerzos en combinar las estrategias de diseminación con técnicas del tipo BlackHat SEO e incluso, con Exploits Pack como en este caso.

Un caso concreto es el Exploit Pack de reciente aparición denominado Siberia Exploit Pack que dentro de su estructura incorpora un archivo llamado file.exe. Cuando el usuario accede a uno de los dominios utilizados por el crimeware, un exploit (generalmente a través de archivos pdf) se encarga de explotar determinada vulnerabilidad, descargar un malware desde un dominio preestablecido y ejecutarlo.

Una vez que el malware infecta el sistema, realiza un Desktop Hijack mostrando la advertencia de una infección a través del mensaje "YOUR SYSTEM IS INFECTED!".

Luego de ello, el sistema comienza a desplegar ventanas emergentes (característica propia del adware) convirtiendo el sistema en el nido del rogue y punto de referencia de una botnet. Sin embargo, independientemente de la infección, esas ventanas emergentes forman parte de la campaña de engaño y de acción psicológica del malware.

Por un lado, porque el supuesto antivirus instalado lejos de solucionar los problemas, los empeora descargando más códigos maliciosos o abriendo los puertos para que accedan otras amenazas. Por otro lado, porque las advertencias de infección, además de ser agresivas, son completamente falsas, y el objetivo es "asustar" al usuario para que termine "comprando" el falso antivirus.

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
Anti-Virus Live 2010. Chateando con el enemigo
Una recorrida por los últimos scareware XIX
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot

Jorge Mieres

Ver más

domingo, 27 de diciembre de 2009

Testimonios sobre scareware y estrategia de credibilidad

Una de las estrategias utilizadas por los propagadores de scareware (rogue) es intentar atraer la confianza de los usuarios a través de "testimonios" supuestamente realizados por personas que ya habrían adquirido la "solución" y que por intermedio de estos manifiestan su "gran satisfacción por el mismo".

Sin embargo, sabemos muy bien que sólo es parte de un engaño que busca complementar la estrategia general de propagación/infección, y que si instalamos ese programa vamos a terminar con el sistema infectado por un scareware. En consecuencia, ¿no se preguntan quienes son los que afirman la eficacia de esta falsa herramienta antivirus?

En función de la imagen, donde debajo de cada frase aparece el supuesto nombre (incompleto) del responsable de la misma, quizás podamos deducir que se trata de las señoras y señores:

• Dave C. = Dave Conficker
• Beth P. = Beth Phoenix
• Lisa W. = Lisa Waledac
• Melissa H. = Melissa Hupigon
• Paul M. = Paul Mebroot
• Jason C. = Jason Crum
• Pat J. = Pat Justexploit
• Matt E. = Matt Eleonore
• Roger F. = Roger Fragus
• Sam P. = Sam Piosonivy
• Jamie V. = Jaime Virut
• Tracey K. = Tracey Koobface
• Brian A. = Brian Adrenaline
• Sally V. = Sally Virtumonde
• John R. = John Ransomware
• Lauren R. = Lauren Rustock

El malware siempre tomando "personalidades" como estrategia y cobertura donde sólo ellos podrían hablar maravillas de un colega fraudulento ;-P

Información relacionada
Anti-Virus Live 2010. Chateando con el enemigo
Una recorrida por los últimos scareware XIX
Campaña de desinformación para propagar malware
Campaña de propagación de Koobface a través de Blo...

Jorge Mieres

Ver más

viernes, 25 de diciembre de 2009

Siberia Exploit Pack. Otro paquete de explois In-the-Wild

Siberia Exploit Pack es un nuevo paquete destinado a explotar vulnerabilidades y reclutar zombis originario, como es fácil de deducir por su nombre y como es habitual en este rubro del negocio clandestino de crimeware, de Rusia. Fue lanzado al mercado casi de forma conjunto con RussKill, una botnet de propósito particular también de reciente aparición.

Por el momento, la venta de Siberia Exploit Pack es cerrada. Las versiones que se comparten en algunos servidores fraudulentos son privadas y su compra sólo es accesible por intermedio de "garantes"; es decir, otros delincuentes (generalmente botmaster, spammers, phishers, etc.) que recomiendan a determinada persona que desea comprar el paquete.

De esta manera se mantiene un determinado control y nivel de confianza entre los desarrolladores del Exploit Pack y sus compradores. Esto también explica por qué del ciclo cerrado en cuanto a su utilización.

La estructura de este crimeware se compone de varios archivos php y un pack de exploits predeterminados. Entre los archivos php se destacan:
  • stat.php: es el panel de acceso a la administración vía http.
  • index.php: contiene un elemento “refresh” que genera un refresco continuo redireccionando a Google.
  • exe.php: contiene las instrucciones para la descarga un binario llamado por defecto file.exe y además contiene un script que redirecciona a un exploit para MDAC contenido en el archivo mdac.php. En función del parámetro que se pase al php descarga también archivos pdf.
  • config.php: contiene los parámetros de configuración del paquete. Se encuentra en la carpeta por defecto llamada inc.
Los archivos que se diseminan a través de este pack y explotando otras vulnerabilidades son:
En este caso, ambos archivos pdf (cuyo nombres los crea de forma aleatoria) explotan las vulnerabilidades CVE-2007-5659 (Adobe Collab overflow); CVE-2008-2992 (Adobe util.printf overflow); CVE-2009-0927 (Adobe getIcon). Mientras que el archivo file.exe crea otro llamado winlogon86.exe (md5:4217e91f65c325c65f38034dc9496772 ).

La "moda" de los paquetes de exploit no termina y parecería que la categorización de "moda", ya le queda chico.

Desde que se comenzó a masificar la utilización de los Exploits Pack (mediados del 2007), son muchas las alternativas de este estilo, tanto de propósito general como de propósito particular, que se ofertan a través de un mercado clandestino mediante el cual no solo se retro-alimenta el negocio del malware con "recursos" eficaces y sencillos (en este caso Siberia Exploits Pack) que se adaptan a sus necesidades delictivas sin mayores esfuerzos, sino que el mismo desarrollo de crimeware como los exploit pack, conjuntamente con las botnets que permiten crear y administrar, constituye un eslabón importante en la cadena delictiva que difícilmente los caber-criminales dejen a un costado.

Esto, evidentemente da una idea lo suficientemente concreta como para entender que estamos frente acciones y estrategias de "negocio" sostenida por profesionales en materia de delitos informáticos.

Información relacionada
RussKill. Aplicación para realizar ataques de DoS
DDoS Botnet. Nuevo crimeware de propósito particular
JustExploit. Nuevo Exploit Kit que explota Java
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
Automatización en la creación de exploits

Jorge Mieres

Ver más

jueves, 24 de diciembre de 2009

Anti-Virus Live 2010. Chateando con el enemigo

Generalmente se tiene la falsa creencia de que los códigos maliciosos constituyen problemas triviales que cualquier técnico soluciona con solo formatear el sistema o adquirir alguno de los reconocidos antimalware que ofrece el mercado antivirus de la actualidad.

Sin embargo, por un lado, la realidad es que detrás del desarrollo de malware se esconde un negocio grandísimo en el cual día a día se suman más "asociados". Por otro lado, qué pasa cuando ese antivirus que planeamos comprar es todo lo contrario.

Este es el caso del Anti-Virus Live 2010 o lo que es lo mismo, Anti-Virus Elite 2010, un malware del tipo scareware (o rogue), que deja en completa evidencia que los procesos y mecanismos mediante los cuales se engaña a los usuarios para robarles dinero se encuentran bien aceitados y muy bien pensados.

En primera instancia, como es habitual en este tipo de amenazas, la estrategia se encuentra apoyada por una página web que es utilizada de "carnada" para atraer a las potenciales víctimas, argumentando todo tipo de justificaciones para "demostrar" cierta credibilidad en el falso antivirus, lo que complementa una típica campaña de desinformación.

Hasta el momento, nada interesante. Salvo, por la posibilidad de solicitar asistencia vía chat. Interesante. Comprobemos entonces si este condimento es legítimo… Sí, lo es.

En consecuencia, se estableció la comunicación a través de esta opción con la sorpresa de que inmediatamente obtuvimos respuesta del otro lado. A continuación se puede aprovechar la corta conversación vía chat.

Básicamente nos comentó Dennis, el negociante, que entre otras cosas el supuesto antivirus es compatible con todas las versiones de Windows, que su valor es de USD 27, que sólo soporta el idioma inglés y no existe versión para empresas y que elimina conficker sin problemas.

Analicemos brevemente estos puntos. Evidentemente, el scareware debe ser compatible con todas las versiones de Windows ya que es ese puntualmente el público al cual está orientada la amenaza. ¿Por qué? Sencillamente porque más del 80% de las personas consumen Windows como principal sistema operativo en entornos hogareños, donde la potencialidad de encontrar una víctima concreta se incrementa. De esa manera es mucho más factible "cerrar negocio".

Por esa misma razón no existe versión para GNU/Linux, incluso, ni siquiera versión orientada a empresas; ya que generalmente, las compañías cuentan con un mayor nivel de seguridad donde, probablemente, el scareware no encuentre resultados positivos.

¿Por qué inglés y no Ruso? Porque el inglés es el tercer idioma más utilizado. Su costo, USD 27, representa un valor competitivo que se encuentra acorde al costo promedio de los programas antivirus legítimos. Y con respecto a conficker, si preguntábamos por koobface, la respuesta hubiera sido la misma.

Una dato más que interesante y que ayuda a comprender en su justa medida la magnitud del negocio clandestino de malware, es el error cometido por el "afiliado" Dennis al momento de solicitarle la dirección para comprar la falsa solución. Nos ofrece la url registryfix.com/purchase y al momento de comentar que no se trata de la supuesta solución en cuestión, hace la salvedad ofreciendo la url correspondiente antivirus-elite.com/purchase.

Sin embargo, nosotros estábamos tratando de cerrar "negocio" por Anti-Virus Live 2010 y no por Anti-Virus Elite 2010, dejando en evidencia que se trata de la misma amenaza bajo nombres diferentes. Incluso, que el mismo "asociado" maneja y comercializa diferentes alternativas bajo modalidad similares. En este caso, ofreciendo también la venta fraudulenta de Registry Fix, otro scareware asociado a NoAdware y ErrorClean.

Desde un punto de vista más técnico, el dominio de esta amenaza se encuentra en la dirección IP 204.232.131.12, alojado en la ISP Rackspace, ubicada en la ciudad de Hoboken en Estados Unidos bajo el AS27357.

Según el historial de este AS, las actividades generadas por códigos maliciosos son importantes

Desde el sitio web se descarga un ejecutable llamado setup.exe (MD5: C50DC619E13345DEC2444B0DE371DFD4) que corresponde al instalador de scareware con un bajo índice de detección.

Como podemos apreciar, los delincuentes informáticos no se cansan de propagar amenazas cada vez más agresivas que acompañan el proceso de infección a través de campañas de marketing, incluso, muy similares a las utilizadas por muchas compañías antivirus.

Información relacionada
Una recorrida por los últimos scareware XIX
Green IT utilizado para la propagación de scarewar...
Scareware. Repositorio de malware In-the-Wild
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot

Jorge Mieres

Ver más

domingo, 20 de diciembre de 2009

Una recorrida por los últimos scareware XIX

Doctor Alex
MD5: 4f2bdddc4b71a428ec2e964cfed9f11a
IP: 69.89.20.48
United States United States Provo Bluehost Inc
Dominios asociados
doctor-alex.com

Result: 7/40 (17.50%)

Safety Anti-Spyware

MD5: 848aea51e9d26089982c9b820c2ea4ba
IP: 212.117.177.18
Luxembourg Luxembourg Luxembourg Root Esolutions
Dominios asociados
safetyantispywareshop.com

Result: 1/41 (2.44%)


Antivirus Doctor

MD5: f43835e6ca25095afe53480d30a6181a
IP: 174.37.110.224
location
Dominios asociados
antivirusdoctor.net

Result: 1/41 (2.44%)


antikeep.com (83.233.30.66) - Sweden Stockholm Serverconnect I Norrland
iguardpc.com (83.233.30.66) - Sweden Stockholm Serverconnect I Norrland
quickscansecurity.cn, photoscansecurity.cn/antimalware.exe (193.169.234.27) - Jamaica Jamaica Titan-net Ltd
erlsoft.in (91.212.107.38) - Cyprus Cyprus Nicosia Riccom Ltd
allinoneprotection1.com/scan3/(...)MPAFM&video... (192.41.60.10) - United States Lindon Icon Developments
top2009securityf.cn/download/ (204.12.252.101) - United States Kansas City Wholesale Internet Inc
malwarebytesy0.com (96.9.180.102) - United States Scranton Network Operations Center Inc
apart-leo.com.uvirt3.active24.cz/adv/security.php?b=1003 (81.95.96.126) - Czech Republic Prague Active24-cz-servers-net
dammekro.com/webcfg/security.php?b=1003 (195.249.40.157) - Denmark Denmark Koege Teaminternet-net
siteadware.com (85.12.25.111) - Netherlands Eindhoven Web10 Ict Services
theantyspywaretool.com/index.php?affid=92800 (78.129.166.11) - Cayman Islands Cayman Islands Cayman British Islands Offshore Network
1uktimes.cn/go.php?id=2004&key=ff0057594&d=1 (91.212.226.186) - Russian Federation Artem Netd-lux-network

Información relacionada
Una recorrida por los últimos scareware XVIII
Una recorrida por los últimos scareware XVII
Una recorrida por los últimos scareware XVI
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

Ver más

martes, 15 de diciembre de 2009

RussKill. Aplicación para realizar ataques de DoS

Conceptualmente hablando, un ataque de DoS (Denegación de servicio) básicamente consiste en bombardear con solicitudes un servicio o recurso informático a fin de saturarlo y que el sistema no pueda procesar más información, de esta manera esos recursos y servicios quedan inaccesibles "denegando" el acceso a cualquiera que los solicite.


Desde el punto de vista de seguridad informática, los ataques de Denegación de Servicio constituyen una problemática importante ya que muchas botnets se encuentran diseñadas para automatizar estos ataques, sobre todo las de propósito particular, aprovechando la capacidad computacional que ofrece la red de zombis. En este caso, el ataque es denominado Denegación de Servicio Distribuido (DDoS).

Por otro lado, bajo el marco del concepto de ciberguerra (Cyber-Warfare), este tipo de ataque forma parte del armamento "bélico" virtual a través del cual las hipótesis de conflictos lo presentan entre sus requerimientos para neutralizar servicios vitales de un Estado.

RussKill es una aplicación web que se cataloga dentro de estas actividades y que a pesar de ser sumamente sencilla, tanto en las funcionalidades como en el modo de uso, representa un ataque que puede ser sumamente efectivo y difícil de detectar.

Como es habitual en el crimeware actual, la aplicación web es de origen ruso y presenta una serie de campos con información sobre cómo y contra quién llevar a cabo el ataque, permitiendo configurar la secuencia de paquetes, es decir, el flujo (Flows) en cantidad. La opción "Hide url"es una medida auto-defensiva que pretende evitar que el servidor sea detectado.

Si bien existen varios métodos de ataques de DoS, RussKill hace uso de los ataques DoS del tipo HTTP-flood y SYN-flood. En ambos casos se busca inundar los servidores víctimas a través de peticiones http y paquetes con direcciones IP de origen falsas respectivamente.

Como lo he mencionado en un principio, los ataques de denegación de servicio son un peligro latente para cualquier sistema de información, independientemente de la plataforma que soporte los servicios, y este tipo de aplicaciones, en este caso web, demuestra la facilidad con la que un ataque de estas características puede ejecutarse.

Información relacionada
DDoS Botnet. Nuevo crimeware de propósito particular

Jorge Mieres

Ver más

miércoles, 9 de diciembre de 2009

Fusión. Un concepto adoptado por el crimeware actual II

Cada vez es más habitual que en los procesos de investigación nos encontremos con que en un mismo servidor se alojan, "operando" de forma activa, varios crimeware del tipo Exploit Pack desde los cuales controlan y administran las zombis que forman parte de su negocio fraudulento.

Hace un tiempo comentábamos sobre ZeuS y ElFiesta conviviendo en un mismo entorno, y cumpliendo los mismos objetivos.

En esta oportunidad, la fusión se encuentra entre Fragus (un crimeware cada vez más conocido) y ElFiesta. Ambos paquetes se encuentran alojados en el mismo servidor. Sin embargo, aunque cabe la posibilidad, esto no significa que estén siendo operados por el mismo botmaster.

El dominio en el cual se encuentran alojados es el siguiente:

En el caso de Fragus se encuentra en http://hotgirldream.net/far/ y en el caso de ElFiesta, se aloja en otra carpeta, la ruta es http://hotgirldream.net/content/. Como podemos apreciar, comparten el servidor, cuya dirección IP es 210.51.166.233, localizado en Yizhuang Idc Of China Netcom, Beijing.

Esto demuestra que las oportunidades de "negocio" no pasan solamente por la venta de crimeware, malware, exploit pack y demás actividades fraudulentas, sino que otra de las alternativas es ofrecer la infraestructura que permita, en función de su capacidad computacional, optimizar los procesos delictivos.

Información relacionada
Fusión. Un concepto adoptado por el crimeware actual
Fragus. Nueva botnet framework In-the-Wild
ZeuS Botnet y su poder de reclutamiento zombi
ElFiesta. Reclutamiento zombi a través de múltiples amenazas

Jorge Mieres

Ver más

sábado, 5 de diciembre de 2009

Campaña de desinformación para propagar malware

La desinformación consiste básicamente en falsear o manipular la información de manera tal que quien la recibe termine creyendo en algo completamente falso, y de lo cual el originador obtiene alguna ventaja. Por ejemplo, el rumor es una herramienta empleada en las campañas de desinformación. A su vez, la desinformación es una herramienta que permite obtener información útil en tiempo y forma (Inteligencia).

Trasladado este concepto al ámbito informático, no es ni más ni menos que una metodología de Ingeniería Social que cada vez más utilizan los desarrolladores de códigos maliciosos para intentar atraer la confianza de los usuarios y aprovecharse así de esa condición para ejecutar el proceso de infección.

Habitualmente lo vemos en las páginas que diseminan malware del tipo scareware (también conocido como rogue), donde encontramos imágenes de certificaciones como Virus Bulletin o AV-Comparatives, o algunas otras como PC Magazine o PC World que si bien no cumplen la misma función que las anteriormente ya que son revistas conocidas que gozan de "confianza" entre el público.

Otra alternativa centra sus esfuerzos en tratar de demostrar que esa "solución" (scareware) es la mejor. Esto se hace a través de falsas comparativas donde se pone en tela de juicio los niveles de detección de compañías antivirus ampliamente conocidas en el mercado.

Ambas estrategias de engaño apelan a lo que se conoce bajo el concepto de autoridad que representan estas certificaciones y publicaciones en el campo "real" de la seguridad antivirus y de la tecnología informática respectivamente.

En este sentido, recientemente he detectado otra metodología de engaño que también se encuentra orientada a emitir desinformación con el objetivo de incentivar a los usuarios a creer en la información y actuar en consecuencia.

Se trata de simular que el archivo ofrecido se encuentra libre de códigos maliciosos, apelando también a la autoridad, pero en este caso, de organizaciones que permiten verificar la integridad de los archivos a través de un proceso online que somete los archivos a las soluciones antivirus con mayor confianza en el mercado. Por ejemplo, servicios como VirusTotal o VirScan. A continuación vemos una de las capturas.

Los dominios involucrados se encuentran alojados en la IP 213.5.64.20, ubicada en los Países Bajos (Netherlands Altushost Inc) en pero no todos diseminan la amenaza. Entre ellos:

safehostingsolutions.com/download.html
fileaddiction.com/download.html
freedatatransfer.com/download.html
freedownloadthanks.com/download.html
megasecuredownload.com/download.html
qualityupload.com/download.html

Los archivos que se descargan tienen los siguientes nombres:
  • Hpack Generator.exe (91b31ea8c551397cd5b1d38ec1aa98dd) - Result: 8/40 (20.00%)
  • UAV Generator.exe – Idem
  • Knight Generator.exe – Idem
  • LG Generator.exe – Idem
  • Kings Generator.exe – Idem
  • DBlocks Generator.exe (53e3256bef0352caf794b641f93a32d5) - Result: 6/40 (15%)
Como podemos notar, que además de la nueva propuesta de engaño que a pesar de ser bastante trivial cuenta con un alto impacto de efectividad, el nivel de detección en los dos códigos maliciosos es muy bajo; representando sólo entre el 15% y 25% de 41 motores antivirus.

No es para alarmarse pero sí para estar atentos.

Información relacionada
Una recorrida por los últimos scareware XVIII
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
Técnicas de engaño que no pasan de moda

Jorge Mieres

Ver más

jueves, 3 de diciembre de 2009

Una breve mirada al interior de Fragus

Fragus es una de las aplicaciones web desarrolladas para la gestión de zombis, de origen ruso, que con poco tiempo de vida se ha insertado al mercado clandestino de crimeware con un precio accesible (USD 800) si tenemos en cuenta las capacidades delictivas que ofrece.

Este crimeware se compone básicamente de cinco secciones: Statistics, Files, Sellers, Traffic links y Preferences. Cada una de ellas se encarga de una tarea específica y todas se complementan entre ellas.

En el panel Files se encuentra la manipulación del archivo ejecutable que será diseminado.

En Sellers encontramos la gestión de exploits. En este caso, correspondiente a la primera versión de Fragus.

En cuanto al módulo Traffic links, permite realizar la "previa" configurando el iframeado y el script que será inyectado en la página que oficiará de "conductor" para la ejecución de los exploits configurador en el panel previo, que buscaran vulnerabilidades en el equipo víctima.

Sin embargo, uno de los patrones que se identifican en cada uno de los paquetes de este estilo, es el módulo estadístico. Este módulo proporciona la información de inteligencia necesaria para que el botmaster obtenga un reporte detallado no solo de los equipos zombis sino también de ciertos aspectos necesarios para conocer en detalle qué exploit deberá ejecutar.

Otro de los patrones interesantes que podemos deducir en función de esta información es que el sistema operativo más explotado es Windows XP con Internet Explorer, que el exploit con mayor eficacia, a pesar de ser muy antiguo (MS06-014) es el que aprovecha la vulnerabilidad en MDAC y que entre los países con mayor tasa de infección son EEUU y Korea.

Este representa un escenario común donde quizás, el factor de relevancia, es la deducción de que tal vez lo común de la situación se debe al importante volumen de usuario que utiliza el sistema operativo de Microsoft de forma no licenciada, lo cual conlleva a no actualizarlo.

Por último, otro importante factor que no debe pasar desapercibido es que a los ciber-delincuentes no les interesa la controversia que existe en torno a los niveles de seguridad que ofrece uno u otro sistema operativo (Windows, GNU/Linux y Mac OS) sino que todos entran en la mismo categoría de "potenciales víctimas" porque la vulnerabilidad explota en capa 7.

Información relacionada
Fragus. Nueva botnet framework In-the-Wild
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
T-IFRAMER. Kit para la inyección de malware In-the-Wild
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

ZeuS Botnet y su poder de reclutamiento zombi
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Liberty Exploit System. Otra alternativa (...) para el control de botnets

Jorge Mieres

Ver más

martes, 1 de diciembre de 2009

Campaña de propagación de Koobface a través de Blogspot

Una masiva campaña de propagación del gusano koobface se encuentra In-the-Wild utilizando como estrategia blogs generados desde el servicio Blogspot.

Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad.

Los dominios de blogspot empleados como cobertura para la propagación son:

pannullonumair.blogspot.com
haladynalatosha.blogspot.com

macdougalmuskan.blogspot.com

mailletjamaica.blogspot.com

ledrewrooney.blogspot.com

brasenoktayoktay.blogspot.com

toludestany.blogspot.com

edgarbillison.blogspot.com

piotrowiczlyanne.blogspot.com

brochoiredeedee.blogspot.com

decuyperantohny.blogspot.com

derrenpassini.blogspot.com

elsenelsenumthun.blogspot.com

elsyelsysalah.blogspot.com

fanjonappuappu.blogspot.com

fredrikadantos.blogspot.com

genelleabril.blogspot.com

gilkerharjyot.blogspot.com

hadzilashawn.blogspot.com

insalacotecwyn.blogspot.com

janitasaels.blogspot.com

jodelinscheufler.blogspot.com

jones-allentammey.blogspot.com

jurgisbooty.blogspot.com

karanjeetisoardi.blogspot.com

dralleboyeboye.blogspot.com

maidenhermann.blogspot.com

messer-bustamantetimpriss.blogspot.com

murachaniananoushka.blogspot.com

nevnevsculthorpe.blogspot.com

parrisvistisen.blogspot.com

porierkunlekunle.blogspot.com

rotermundraimon.blogspot.com

sharonyacorvil.blogspot.com

sodorabardan.blogspot.com

tendaiblunk.blogspot.com

turskeybrianna.blogspot.com

zhuochengbate-pelletier.blogspot.com

ziziziziboyter.blogspot.com


Quien accede a alguno de estos dominios es redireccionado a una página que simula la típica pantalla de YouTube. A continuación vemos una captura.

Inmediatamente después, se intenta descargar un binario llamado "setup.exe" (md5 6d8ac41c64137c91939cced16cb5f2fe) que posee una tasa de detección media baja. Este binario, a su vez se encarga de descargar y ejecutar otros códigos maliciosos.
Cada uno de estos archivos son descargados desde dominios del estilo "homemadesandwiches.com/.sys/?getexe=ff2ie.exe".

El binario v2captcha.exe se encarga de romper el captcha que solicita blogspot para el registro de blogs, creando de manera aleatoria y masiva los mismos, y redireccionando luego a la descarga de koobface a través de, como lo mencioné en un principio, una falsa página de YouTube que utiliza la misma estrategia de ingeniería social visual utilizada en otras campañas de propagación similares.

Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus.

Información relacionada
Simbiosis del malware actual. Koobface

Jorge Mieres

Ver más

lunes, 30 de noviembre de 2009

Compendio mensual de información. Noviembre 2009

Pistus Malware Intelligence


29.11.09 JustExploit. Nuevo Exploit Kit que explota Java
26.11.09 Servicio ruso en línea para comprobar la detección de malware
24.11.09 Espionaje informático a través de malware
22.11.09 DDoS Botnet. Nuevo crimeware de propósito particular
18.11.09 Una recorrida por los últimos scareware XVIII
15.11.09 T-IFRAMER. Kit para la inyección de malware In-the-Wild
06.11.09 Desarrollo de Botnets Open Source. “My last words”?
04.11.09 QuadNT System. Sistema de administración de zombis I (Windows)
02.11.09 Campaña de phishing orientada a usuarios de MSN
02.11.09 ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

Evil Fingers Blog
29.11.09 JustExploit. New Exploit kit that uses vulnerabilities in Java
24.11.09 Espionage by malware
23.11.09 DDoS Botnet. New crimeware particular purpose
18.11.09 A recent tour of scareware XVIII
16.11.09 T-IFRAMER. Kit for the injection of malware In-the-Wild
13.11.09 Open Source Development Botnets. "My last words?
05.11.09 QuadNT System. Zombies Management System I (Windows)
04.11.09 Phishing campaign targeted to users of MS
01.11.09 Malware Intelligence Linkedin Group

Offensive Computing
15.11.09 T-IFRAMER. Kit for the injection of malware In-the-Wild
05.11.09 ZeuS and power Botnet zombie recruitment


ESET Latinoamérica Blog

01.12.09 Reporte mensual de amenazas de noviembre
30.11.09 Propagación de malware simulando Java Runtime
26.11.09 El grupo Miranda! como excusa para propagar malware
24.11.09 ESET Continúa educando en materia de seguridad
20.11.09 Nuevo ransomware In-the-Wild
13.11.09 Listado de programas de seguridad falsos VIII
06.11.09 Ataques de phishing a Facebook generados por ZeuS


Información relacionada
Compendio mensual de información 2009
Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo
- Abril - Marzo - Febrero - Enero

Jorge Mieres

Ver más

domingo, 29 de noviembre de 2009

JustExploit. Nuevo Exploit Kit que explota Java

La industria del crimeware sigue en constante aumento y del mismo modo la comercialización clandestina de aplicaciones web que buscan automatizar los procesos de infección a través de la explotación de vulnerabilidades.

En esta oportunidad, la propuesta se llama JustExploit. Se trata de un nuevo Exploit Pack de origen ruso que posee un condimento que cada vez está siendo tenido en cuenta con mayor fuerza entre los desarrolladores de crimeware: la explotación de vulnerabilidades en Java. Es decir, además de explotar las vulnerabilidades conocidas para MDAC y archivos PDF, explota Java en todos aquellos equipos que tengan instalado su runtime.

La captura corresponde al módulo de estadística (Inteligencia) donde claramente se observa que desde esta aplicación se está controlando un número importante de equipos que utilizan diferentes navegadores y diferentes sistemas operativos, entre los cuales se encuentra el flamante Windows Seven.

Otro dato interesante que se desprende de este módulo, es el alto índice de efectividad que posee la explotación de la vulnerabilidad en Java, teniendo, incluso, un mayor nivel de éxito con respecto a las otras dos vulnerabilidades (MDAC y PDF).

A través de un archivo "index.php" que posee un script ofuscado, JustExploit intenta ejecutar tres exploits para las vulnerabilidades CVE-2008-2992, CVE-2009-0927 y CVE-2008-5353. A continuación vemos parte del script.

Entre los archivos que se descargan, se encuentra el que explota Java, llamado sdfg.jar, con una tasa de detección baja. Según VirusTotal, sólo 15 de 41 motores antivirus.

Además, el kit incluye la descarga de los siguientes archivos maliciosos (que por el momento, también cuentan con una tasa de detección muy pobre):
Esta actividad se encuentra In-the-Wild hace un tiempo relativamente corto y constituye un peligroso vector de ataque que activamente se encuentra siendo utilizado por parte de los botmasters, y como hemos visto, con una efectividad llamativa.

Muchas gracias a la gente de MDL por la información

Información relacionada
DDoS Botnet. Nuevo crimeware de propósito particul...
T-IFRAMER. Kit para la inyección de malware In-the...
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Mirando de cerca la estructura de Unique Sploits Pack
Adrenaline botnet: zona de comando. El crimeware ruso...
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
ElFiesta. Reclutamiento zombi a través de múltiples amenazas
Malware Domain List

Jorge Mieres

Ver más

jueves, 26 de noviembre de 2009

Servicio ruso en línea para comprobar la detección de malware

Una de las cosas que preocupan a los creadores/distribuidores de malware es saber si los antivirus son capaces de detectar sus binarios y por tanto arruinar sus planes económicos.

Una posible forma de comprobar la capacidad de detección de dichos antivirus es subir el binario a sitios como VirusTotal, que a fecha de hoy, utiliza 41 motores antivirus diferentes. El gran problema es que estos sitios suelen trabajar en colaboración con las compañías antivirus, retroalimentándolas con las muestras. Por eso, aunque en el momento del análisis es posible que sólo unos pocos de los antivirus (o ninguno en el peor de los casos) sean capaces de identificar las cualidades malignas del binario en cuestión, muy probablemente el ratio de detección subirá a toda velocidad en un breve espacio de tiempo.

Esto ha abierto un nicho de negocio, y en mayo de este año aparecieron posts en diversos foros en los que se anunciaba un nuevo servicio (en aquel momento gratuito) para analizar el grado de detección sin alertar a las casas antivirus. Nacía VirTest.



Actualmente esta página, de origen ruso (aunque posee su versión en inglés) ofrece 26 motores antivirus diferentes, con posibilidad de elegir cuáles quieres que sean utilizados para chequear la muestra. A continuación se puede ver un listado de los motores antivirus y sus respectivas versiones. En la página web especifican con detalle cada cuánto es actualizado cada uno de los antivirus, dependiendo de la política que siga cada compañía para publicar nuevas firmas.

El análisis del binario mostrará una tabla en la que se ve qué antivirus reconoce el código malicioso y cual no. Pulsando el enlace con el nombre del fichero se abrirá un recuadro en el que podemos ver información sobre el tipo de fichero y su tamaño, los distintos hashes del mismo, información sobre su estructura (si es un exe), entre otros.

Si además se pulsa sobre el enlace "See file", se mostrará un fragmento del propio fichero de 1000 bytes de tamaño.

Sin embargo, una característica añadida a este servicio que marca un diferenciador con respecto a servicios similares, es la posibilidad de analizar un crimeware del tipo Exploit Pack, dando la url en la que se encuentra alojado.
Según reza la FAQ del servicio, realmente no se chequea el script, sino el código resultante que será recibido por los distintos tipos de navegadores. Las pruebas se realizan con Firefox, IE6, IE7, IE8, Opera y Chrome.

Haciendo clic sobre alguno de los enlaces podremos ver el recuadro de antes ampliando la información sobre el análisis.

Para poder realizar uno de estos análisis es necesario crear una cuenta y disponer de efectivo en la misma, ya que se ha convertido en un servicio de pago con los siguientes precios:

El pago de las cuotas se realiza exclusivamente a través de WebMoney. Existe al menos otro servicio similar que actualmente es gratuito y se encuentra en fase Beta. Suponemos que en breve pasará a ser de pago también.

Resumiendo, una prueba más de que no sólo la explotación del malware genera beneficios, sino que también se mueve dinero en servicios paralelos a esta industria. Y en algunos casos, como el que nos ocupa, habría que ver si se puede considerar este servicio como un acto delictivo o no.

Información relacionada
Software as a Service en la industria del malware
Creación Online de malware polimórfico basado en PoisonIvy
Panorama actual del negocio originado por crimewar...
Los precios del crimeware ruso. Parte 2

Ernesto Martín
Malware Research
Pistus Malware Intelligence

Ver más