Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 28 de febrero de 2009

Compendio mensual de información. Febrero 2009

Pistus Malware Intelligence Blog
27.02.09 LuckySploit, la mano derecha de Zeus
25.02.09 Phishing Kit In-the-Wild para clonación de sitios web, versión 2
24.02.09 Una recorrida por los últimos scareware IV
23.02.09 Entrevista con Kevin, un defacer Argentino. Segunda parte
22.02.09
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
21.02.09 Paper. Análisis de un ataque de malware basado en web
21.02.09 Google Grupos nuevamente utilizado para diseminar porno spam
20.02.09 Entrevista con Kevin, un defacer Argentino. Primera parte
19.02.09 Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
18.02.09 Zeus Botnet. Masiva propagación de su troyano. Primera parte
17.02.09 AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro
16.02.09 Phishing Kit In-the-Wild para clonación de sitios web
14.02.09 Waledac más amoroso que nunca
13.02.09 Estrategias de engaño, spam y códigos maliciosos
11.02.09 Waledac e Ingeniería Social en San Valentín
09.02.09 Explotando vulnerabilidades a través de SWF
07.02.09 Creación Online de malware polimórfico basado en PoisonIvy
05.02.09 Explotación de vulnerabilidades a través de JS
04.02.09 Una recorrida por los últimos scareware III
03.02.09 Propagación masiva de malware en falsos códecs
02.02.09 Drive-by Update para propagación de malware

01.02.09 MySpace suceptible a amenazas a través de XSS


Evilfingers Blog
27.02.09 LuckySploit, the right hand of Zeus
25.02.09 Phishing Kit In-the-Wild for cloning of web site, version 2
24.02.09 Zeus botnet. Mass propagation of trojan. Part two
21.02.09 Google Groups again used to spread porn spam
20.02.09 Whitepaper. Attacks - Weaknesses of security commonly exploited
20.02.09 Whitepaper. Análisis de un ataque de malware basado en web
18.02.09 Zeus botnets. Mass propagation of trojan. Part one
16.02.09 Phishing Kit In-the-Wild for cloning of web site
14.02.09 Waledac more loving than ever
12.02.09 Waledac, Social Engineering and San Valentine Day
10.02.09 Exploiting vulnerabilities through SWF
08.02.09 Creating Online polymorphic malware based PoisonYvi
06.02.09 Exploitation of vulnerabilities through JS
04.02.09 Most common safety violations

02.02.09 Drive-by Update for spreading malware
01.02.09 MySpace touchy to threats through XSS


ESET Latinoamérica Blog
27.02.09 Reporte de amenazas de Febrero
24.02.09 Malware a través de spam simula ser de Windows Live Messenger
18.02.09 Protección contra intentos de robo de información
16.02.09 Falso MSN Messenger SMS propaga malware
13.02.09 ¿Viagra para el día de los enamorados?
10.02.09 Listado de programas de seguridad falsos IV
06.02.09 Casinos online: jugando con el peligro
04.02.09 San Valentín como excusa para propagar malware
02.02.09 Reporte de amenazas de Enero

Información relacionada
Compendio mensual de información. Enero 2009

# pistus

Ver más

viernes, 27 de febrero de 2009

LuckySploit, la mano derecha de Zeus

LuckySploit es el nombre de un conjunto de scripts (Toolkit) diseñados para explotar diferentes vulnerabilidades y permitir la ejecución de binarios en el equipo víctima de manera arbitraria.

Actualmente, estos scripts, sometidos a ofuscación, están siendo utilizados por la botnet Zeus para reclutar zombies PCs a través de ataques Drive-by-Download.

Cuando se accede a la dirección web, sólo se visualiza una página en blanco; sin embargo, al chequear su código fuente aparece un código escrito en JavaScript como el siguiente:

El script se encuentra cifrado con el algoritmo RSA. Esta información se visualiza al final del código.

Otro dato interesante es que el script sólo se visualiza una sola vez, es decir, si se intenta acceder nuevamente a la misma dirección, al chequear nuevamente el código fuente del HTML, el script ya no se encuentra disponible.

Algunos de los dominios que contienen a LuckySploit se encuentran reflejados a continuación:
r-state .com/ equi/
trafffive .cn/wait/ ?t=15
trafffive .cn/bm/ ?t=15
directlink9 .cn/wait/ ?t=15
directlink4 .cn/bm/ ?t=15
directlink2 .cn/wait/ ?t=15
directlink1 .cn/bm/ ?t=15
directlink0 .cn/wait/ ?t=15
superioradz .info/opis3/ ?t=2
superioradz .info/opis2/ ?t=2
rodexcom .org/parus/ ?t=5
dvlorg .net/parus/ ?t=25
top.sei-keine .com/u-store/ ?t=1
statclick .net/main/ ?t=1
deinglaube .com/ images/
202.73.57.6/ tomi
federalreserve.banknetworks .net/bb/ ?t=2
fuadrenal .com/mito/ ?t=2
fuck-lady .com/prn/index .php
hello-to-you .net/rttz/ ?t=6

Cabe aclarar que muchas de estas URL's se encuentran activas, por lo tanto, si decide acceder a cualquiera de ella, tenga presente las medidas de seguridad adecuadas para el caso en cuestión.

En algunos script, al desofuscarlo, claramente se lee al final del mismo un mensaje que dice:
attack_level = 0;;
try {
f = 'Welcome to LuckySploit:) \n ITS TOASTED';

De esta manera, Zeus se encuentra adhiriendo equipos a su red maliciosa de computadoras infectadas.

Información relacionada:
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Zeus Botnet. Masiva propagación de su troyano. Primera parte
Ataque de malware vía Drive-by-Download


# pistus

Ver más

miércoles, 25 de febrero de 2009

Phishing Kit In-the-Wild para clonación de sitios web, versión 2

Hace unos días les contaba que se encuentra activo un paquete de phishing que contiene archivos de clonaciones de sitios web muy conocidos y masivamente utilizados por los usuarios listos para ser explotados.

Este paquete ha ampliado su "cobertura" de fraude, ofreciendo un segundo paquete con otra importante cantidad de sitios web falsos que buscan ser transparentes al usuario y obtener así su información.


El kit de Phishing mantiene la misma estrategia de diseminación que el pack anterior; es decir, un archivo index.html que es copia fiel de la página real, un login.php y un .txt, pero no así las propuestas de clonaciones para robar los datos:

Adult Friend Finder
Amazon
Bebo
Break
DeviantArt
FlickR
FreeWebs
GeoCities
LiveJournal
Playstation Underground
PornoTube
SendSpace
SourceForge
Studivz
Tagged
Tripod - Lycos
Veoh
WWE
Xanga
XTube - Images R Broken


Por un lado, las estrategias que buscan obtener dinero sin mayores esfuerzos son cada vez más agresivas y más invasivas; y por el otro, la mayoría de estos kits se encuentran disponibles en Internet de manera gratuita o mediante el pago, en este caso, de una cantidad de dinero no tan alta como sucede con pack similares.

Los ataques de phishing son cada vez más peligrosos porque sus creadores buscan eficacia en el desarrollo del mismo para que la copia sea lo más fiel posible a la real. Esto supone un potencial riesgo que, asociado a la combinación con técnicas intrusivas como los kit de malware (ElFiesta, MPack, IcePack, etc.) que se implantan en servidores fantasmas o vulnerados para diseminar el phishing, se torna cada vez más peligroso para quienes desconocen, incluso para quienes conocen también, el funcionamiento de estas técnicas de ataque.

Información relacionada
Phishing Kit In-the-Wild para clonación de sitios web


# pistus

Ver más

martes, 24 de febrero de 2009

Una recorrida por los últimos scareware IV

Como de costumbre, nuevas variantes de los más conocidos scareware (rogue) van surgiendo día a día haciendo uso de los habituales métodos de engaño (alertas falsas, nombres de dominios alusivos, falsos scaneos, etc.).

Algunos de los últimos programas dañinos de este estilo son los siguientes:


XpyBurner *

MD5: eb8f9f40c563250f53b404b61dbfb491
IP: 72.232.186.20
United States United States Las Vegas Dwd Technologies Llc
Plataforma: Windows
Dominios asociados:
Xpyburner .com
Xpyburnerpro .com
VT Report:
19/38 (50.00%)

System Security *
MD5:
45bcdb17659fc0f6f6277e9e027441cc
IP: 72.232.186.18
United States United States Las Vegas Dwd Technologies Llc
Plataforma: Windows
Dominios asociados:
System-tuner .com
Systemsecurityse .com

VT Report: 19/39 (48.72%)

HDrive Sweeper *

MD5:
c1fc9887457353607062fd8df689fde0
IP: 72.232.186.21
United States United States Las Vegas Dwd Technologies Llc
Plataforma: Windows
Dominios asociados:
Hdrivesweeper .com
Hdrivesweeperpro .com
VT Report:
21/39 (53.85%)

System Tuner *
MD5: fa36c3b1d61b6e9d7b2f6b0ee645806d
IP: 72.232.186.18
United States United States Las Vegas Dwd Technologies Llc
Plataforma: Windows
Dominios asociados:
System-tuner .com
Systemsecurityse .com
VT Report:
22/35 (62.86%)

* se encunetran en el mismo rango IP.

AntiSpyware 3000
MD5:
945725b374fad6a35e24e2e8543a5d85
IP: 210.51.37.113
China China Shanghai Xindongli-stock-ltd
Plataforma: Windows
Dominios asociados:
antispyware3000 .net
duocw .com
VT Report:
38/39 (97.44%)

Virus Doctor
MD5:
82e6594e1d241f23eb2c524beecc9963
IP: 64.86.17.9
Canada Canada Montreal Teleglobe Inc
Plataforma: Windows
Dominios asociados:
mysupervisor .net
virus-doctor .com
pay-virusdoctor .com
trdatasft .com
virusdoctor-online .com
VT report:
21/39 (53.85%)

Total Virus Protection
MD5:
84e782738fcef71a8701da221fed94c5
IP: 83.133.123.166 / 92.241.176.220
Germany Germany Wuppertal Lnc-dsl-discounter
Russian Federation Russian Federation Wahome Colocation
Plataforma: Windows
Dominios asociados:
t61.1paket .com
totalmalwareprotection .com
xpvirusprotection .com
xpvirusprotection2009 .com
VT Report:
3/39 (7.69%)

MalwareDoc
MD5: af5f63cdaed1e619b65d7bf506e40e3a
IP: 193.138.172.5
Russian Federation Russian Federation Moscow New Communication Technologies
Plataforma: Windows
Dominios asociados:
antispyknight .biz
474.metago .cn, beforethehost .com, bobthejoker .info, atingloves .ru, farmhut .net, femoffice .net, foxtrot1 .biz, friendis .us, gaysagays .com, gogogogogogogogogogogo .cn, google-analutuk .com, iframestat .org, intellpoint .org, avascript .bz, kva-kva .net, lencom .com, live69 .ru, matchwow .us, mycashnew .ru, mynewcards .ru, odnoklassniki-newyear2009 .ru, ownroom .org, oy4b-oykb .ru, piontor .com, pompovara .ru, pop.yandex2 .cn, pornuha .cc, smsgogo .cn, topsale .us
VT Report:
7/38 (18.42%)

Antivirus 1
MD5: 27a882668aeda52450ef78a0d6e42a30

IP: 70.38.19.201
Canada - Ontario - Toronto - Alexandre Lussier
Plataforma: Windows

Dominios asociados:
anti-virus-2010.info, antivirus-2010.info, av1-download.info, av1-site.info, downloads.anti-virus-2010.info, tagsdirect.winfamilyholiday.com, Anti-virus1-installs.info
VT Report:
5/39 (12.82%)

Información relacionada
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II

Una recorrida por los últimos scareware


# pistus

Ver más

lunes, 23 de febrero de 2009

Entrevista con Kevin, un defacer Argentino. Segunda parte

Segunda y última parte de la charla que mantuve con Kevin, un defacer Argentino.

Jorge dice: hace un rato me contaste sobre pamela pero no sobre los otros nickname ¿qué hay de fenix y shavax?
Kevinex dice: ellos eran de mi Team, pero ahora son otros, le diria 20 miembros en Córdoba Capital, y en mi barrio, Alto Alberdi.
Jorge dice: ¿eran?
Kevinex dice: si, porque usaban para cosas malas que nos perjudicaba.
Jorge dice: ¿en qué sentido?
Kevinex dice: borraban los archivos de las webs,
Jorge dice: dijiste "mi team", te refieres a RedHackTeam?
Kevinex dice: Si, bueno así se llamaba, ahora somos Team Xeon. Me gusta ese nombre.
Jorge dice: ¿y la filosofía del grupo cuál es?
Kevinex dice: Ayudar, sin recibir. Muchos del grupo son nuevos, los que más sabemos sobre esto somos Pucky, Jhon, Mauro y yo.
Jorge dice: alguno extranjero o son todos argentinos
Kevinex dice: argentinos todos y todos de córdoba. Es mejor que todos seamos del mismo lugar
Jorge dice: Okey. Deporte, música, supongo que te gustan
Kevinex dice: Me encanta el fútbol, y sobre todo la Cumbia Villera!
Jorge dice: jejejejeje. Que raro, pensé que quizás eras mas del metal. Black Sabbath y cosas así, o quizás evanescence.
Kevinex dice: no, ese tipo de música no me gusta, pero no soy viller!
Jorge dice: en el defacing del que comentabas que realizaste durante el 2005 dice "Cuakos Corporation" ¿qué significa?
Kevinex dice: es mi foro www.cuakos.com
Jorge dice: desde el punto de vista técnico, ¿Cuáles son los métodos habitualmente utilizados para el defacing?
Kevinex dice: scannear el servidor. Usar un soft de scannear el servidor de la web y que te da las posibles vulnerabilidades, y ya uno lo compila en .perl, .php. Me gusta usar el Shadow security scanner
Jorge dice: ¿cuáles son las vulnerabilidades más comunes que has encontrado?
Kevinex dice: en mysql, que se puede inyectar, en ssh, rfi, o también la ing. social.
Jorge dice: te consideras un hacker, un cracker, un lamer o un defacer
Kevinex dice: No me considero nada, tan solo soy un aprendiz que le gusta la informática y aprender cosas nuevas.
Jorge dice: ¿te gusta algún defacer? ¿Quién?
Kevinex dice: Ice bread, de Perú
Jorge dice: recuerdas algún defacing de Ice bread
Kevinex dice: si, fue a la página del gobierno de Chile, que luego los Chilenos también le hicieron a Perú.
Jorge dice: alguno de los admin de los sites que has desfigurado te contactó alguna vez?
Kevinex dice: si, el de la Radio de portugal. Me puteo primero, ni recuerdo lo que me dijo, total no le entendí mucho xD, pero luego le expliqué que era, solo para que no lo defacee otro que pueda hacer más daño.
Jorge dice: si te dijera que creo que este tipo de actitudes tiene que ver un poco con rebeldía adolescente más que cuestiones personales o políticas. ¿qué dirías?
Kevinex dice: te diría si tienes web para vengarme jajajaja, es broma. Por una parte es verdad, la mayoria hace eso para hacerse los mejores, poniendo frases como "Soy el mejor hacker muajaja".
Jorge dice: después de todo, qué significa Kevinex?
Kevinex dice: Kevin y el EX por un grupo que me encanta su canción, el grupo se llama Extreme
Jorge dice: qué es más común, encontrar vulnerabilidades en el código o vulnerabilidades como consecuencia de configuraciones por defecto?
Kevinex dice: por código del servidor mysql, o por el sistema que usen
Jorge dice: ¿volveremos a ver algún otro sitio con la leyenda: “Defaced by Kevinex”?
Kevinex dice: en un futuro tal vez, ya que por un tiempo lo deje.
Jorge dice: para ir terminado... a pesar que no te gusta ser muy conocido y teniendo en cuenta que, por lo menos, alguien leerá estas líneas, ¿quieres dejar algún mensaje? a la gente, a los admin...
Kevinex dice: Que si alguna vez sufren defaces (de mi parte no) sigan adelante, que diariamente hagan backups de sus webs, y animo por seguir adelante en sus proyectos.
Jorge dice: fue un placer charlar contigo. Te mando un cordial saludo y muchas gracias por tu tiempo.
Kevinex dice: Igualmente para usted. Saludos.


Información relacionada
Entrevista con Kevin, un defacer Argentino. Primera parte
Desfiguración de sitios web III

# pistus

Ver más

domingo, 22 de febrero de 2009

Zeus Botnet. Masiva propagación de su troyano. Segunda parte

En una primera parte pudimos contar muy por arriba de qué se trata Zeus, junto a una pequeña lista de dominios y direcciones IP comprometidas con el troyano y muy útiles para bloquearlas.

El siguiente mapa muestra información relacionada a cada host infectado por Zeus que es identificado por intermedio de un punto. Aunque a simple vista, la información que nos muestra el mapa puede dar la sensación de insuficiente, hay que tener en cuenta que cada uno de los nodos puede representar varias direcciones IP o dominios alojados en un mismo servidor, con lo cual el porcentaje de equipos infectados se potencia.


Aunque la lista es muy pequeña comparada con la cantidad de dominios que alojan a Zeus, es sumamente importante que los administradores bloqueen los mismos en su estructura de red para evitar problemas de infección.

85.17.139.189 investmentguard.co.uk/foto/body_bg_akh10 .jpg

85.17.143.132 mainssrv.com/pic/timeats .jpg

91.197.130.39 goldarea.biz/bot .exe

92.48.119.151 allmusicsshop.com/bnngJPdf7772Nd .exe

92.62.100.14 chinkchoi.net/3n539@32d .exe

92.62.101.54 drupa1.com/s/fuck .exe

92.62.101.54 ltnc.info/utility/lease/software/update/config .bin

92.62.101.54 tdxs.info/utility/backup/config .bin

94.103.80.150 zone-game.org/ldr .exe

94.75.214.18 vokcrash.com/144/load .php

196.2.198.243/wweb11/zdr .exe

196.2.198.243/xwweb/zdb .exe

58.65.236.41/z .exe

67.225.177.120/moon/cfg1.bin

78.26.179.201/matt/loader .exe

91.211.65.122/~nostr551te/endive/dogi .exe

92.241.164.198/~cadazeu/testbot/ldr .exe

92.62.101.60/g1/data

92.62.101.60/g2/data

92.62.101.60/g2/run .exe

94.247.3.211/ddk/audio

94.247.3.211/rot/load .exe

94.247.3.211/rot/zlom

freecastingus.cn/z12/config .bin

freecastingus.cn/z12/loader .exe

http://ltnc.info/utility/lease/software/update/config .bin

http://tdxs.info/utility/backup/config .bin


Por otro lado, cada una de los dominios, junto a su dirección IP, representan un host infectado o servidor vulnerado.

Teniendo en cuenta que los medios de propagación e infección empleados por Zeus son, el correo electrónico y técnicas de Drive-by-Download a través de diferentes exploit donde uno de los más conocidos es Luckysploit, o sitios vulnerados a los cuales se implantan malware kits como ElFiesta; resulta sumamente importante bloquear los dominios y direcciones IP que he expuesto.


Información relacionada

Zeus Botnet. Masiva propagación de su troyano. Parte 1

Lista de dominios comprometidos por Zeus
Lista de IPs comprometidas por Zeus


# pistus

Ver más

sábado, 21 de febrero de 2009

Paper. Análisis de un ataque de malware basado en web

Internet se ha transformado en una aliada plataforma de ataque para los creadores de malware, quienes a través del empleo de diferentes técnicas tales como Drive-by-Download, Drive-by-Update, scripting, exploit, entre otros, y la combinación de ellos, buscan reclutar todo un ejercito de computadoras que respondan sólo a sus instrucciones maliciosas.

Estos ataques, empleando Internet como base para ejecutar cargas dañina de manera directa sobre el sistema víctima, de forma paralela, casi instantánea y transparente a la vista de los usuarios menos experimentado, se ha convertido en un latente y peligroso riesgo de infección por el simple acto de acceder a un sitio web.

En el siguiente documento se expone un ejemplo concreto que recurre a las acciones antes mencionadas para explotar e infectar un sistema víctima, describiendo también varias características extras que potencian el daño del malware.

El documento puede ser descargado desde la sección papers.

Información relacionada
descarga de "Análisis de un ataque de malware basado en web" vía EvilFingers.


# pistus

Ver más

Google Grupos nuevamente utilizado para diseminar porno spam

Las técnicas de spamming son cada vez más agresivas y los spammers, con tal de continuar con la industria económica que se encuentra detrás de la publicidad no solicitada, enfocan todos sus esfuerzos en buscar "alternativas" que permitan bypasear los mecanismos de autenticación implementados en los servidores webmail.


En consecuencia, en los últimos días las casillas de millones de usuarios se han visto bombardeadas por una importante cantidad de spam que bajo asuntos alusivos a videos eróticos o pornográficos de celebridades, utiliza el servicio Google Grupo para diseminar spam pornográfico.

Algunas de las frases empleadas en el asunto para captar la atención de los usuarios son:

Hey! It is Erica. Wanna date?

Hi! This is Dana from last Monday video shoot.
Hello!
It is Norma. Couldn't reach you.

Jessica Alba was caught naked in sauna!

Jennifer Aniston was caught naked in sauna!

Jennifer Love Hewitt's nude beach photos!

Cameron Diaz's nude beach photos!

Denise Richards's fitting room hidden pics!

Shakira and her mystery boyfriend pics!

Hi! It is Deena. Fresh teens who just got legal to pose.

Hi! This is Amelia. Fresh teens who just got legal to pose.


Por otro lado, algunos de los perfiles utilizados en el servicio en cuestión son los siguientes:

http://groups.google.com/group/zcmcrowderifjzub/?iqhphgbeaxegecyvaduryqmgzzv&pli=1
http://groups.google.com/group/rnushafermrlio/?xsopvgfxraihhintaudhuhgwxqqdr
http://groups.google.com/group/xm388drtr876gx/web/xblsdmz
http://groups.google.com/grou/giuyburroughsyqk/?oscfdntsxfsxygrimaykrdnbpiiwk

http://groups.google.com/group/vlmwillistvkkyx/?mjywanyxpngnhthdsbmhwsgspozh
http://groups.google.com/group/tixjotin2wtv/web/rqcc8ne
http://www.google.com/group/rsnclineiqs/?fchgwoioqdxyhxzujnqhsj
http://www.google.com/group/qjmjvwbrobbinsyne/?vuqkpijorysniuzmcmrcmu
http://www.google.com/group/smpwthackercdi/?netcrpysqsrpnwwhddfcvxkemobiv

http://groups.google.com/group/rt4q26ggg4azg/web/pvnrywa
http://www.google.com/group/henvrankinosv/?mpsajqfwyzlqxqpouxokymddoos

http://www.google.com/group/aediyyxfieldsljx/?imingpivvlnkyputxttpugmcwdt

http://groups.google.com/group/zscsqcgzrxhxno/web/k4xkob

http://www.google.com/group/oapfhxjbledsoeakpas/?lkngiiujnfqyotalcibneib

http://www.google.com/group/dtoercardenasmyld/?nqhbbvfazcqwqchrgyzzgvxyu

http://www.google.com/group/smpwthackercdi/?kzxgxdhqmjthzyrjmeckg

http://www.google.com/group/jpfkdowneyviyxlco/?fknhxtryihnlykkddadzjhq

http://www.google.com/group/ldubartlettvqv/?sjeqkrtkzhipuymmeyohncvvm
http://www.google.com/group/tzqmockjapi/?ieywkhfiwklmksgjhhcnycniwmfym

http://www.google.com/group/mdnsylclynnakjl/?zivtwsmexjcvvapfzejv
http://www.google.com/group/thlssheetscru/?ciotibufyziphemhnqemuz

http://www.google.com/group/ynatdxhjenningswmjfcap/?wkqsusarwnzbqzbtqkmgewrwihj

http://www.google.com/group/eblshoemakergaouclt/?tyvkjqeixthanyzeasoty

http://www.google.com/group/jyqpukinneypnyfw/?aasinzdghhknxajmprdshftcbl
http://www.google.com/group/stfxzdfbegayuguh/?fpkvhcnouznregxpqrvchicwza
http://groups.google.com/group/caylyjacobigyeg/web/kuytfopiufyoutd
http://www.google.com/group/egnjomckennalcwin/?pyjzsnomluxqcgathnbo

http://www.google.com/group/qolurosadomunto/?piqzlscomokvrftqoicliroqv


La lista es realmente larga como para reflejar cada una de las direcciones en este post, sin embargo, los ejemplos son suficientes para tener una idea lo suficientemente concreta como para comprender que el spam es un problema que afecta a todos por igual y que en la actualidad constituye uno de los negocios más explotados.

# pistus

Ver más

viernes, 20 de febrero de 2009

Entrevista con Kevin, un defacer Argentino. Primera parte

Kevin es un Argentino que, aparentemente reside en Córdoba (Argentina), y es el autor, bajo el alias Kevinex, del defacer que vemos en la siguiente captura.

Hace un tiempo, tuve la oportunidad de charlar un rato con él, y de esa charla surgió lo que a continuación les transcribo:

Jorge dice:
Hola Kevin
Kevinex dice:
Hola!
Jorge dice: Cuál es el defacing de esta noche? :-)
Kevinex dice: jaja, un poco de Ddos xD.
Jorge dice: Qué haces además de desfigurar pages?
Kevinex dice: Postear programas. Precisamente ahora, ayudo a empresas en la seguridad de sus webs.
Jorge dice: A través del defacing?
Kevinex dice: No precisamente eso, solo veo si tiene algo vulnerable pero ya sin defacear, algunas veces, admito que si xD
Jorge dice: Claro, eso es algo que me llama mucho la atención. Qué te hace cambiar de parecer ante la decisión de vulnerar un site o no?
Kevinex dice: 2 motivos, uno puede que, me gusta el sitio y veo que tiene algo vulnerable, pongo un index creado por mi, que el sitio esta en mantenimiento. Otro que no me guste, y cuando no lo hago es porque, no da ganas de molestar a nadie. Algunas veces por tiempo, toma un poco de tiempo hacer eso. y más cuando son sitios de idiomas que no entienda jaja
Jorge dice: Algo turco por ejemplo :-) Entonces te consideras un tipo con ética?
Kevinex dice: quizás, yo me creo una personal normal. ni mejor, ni menos que otros. Una vez modifiqué la página de una estación de Radio y dicen que será que lo hice, porque no me gusta la música, luego me comunique con el webmaster para que lo parche y listo.
Jorge dice: Las motivaciones que llevan a una persona a realizar este tipo de prácticas son variadas, desde fines maliciosos hasta revelar vulnerabilidad en un site, desfigurar sites de pedofília o por cuestiones políticas ¿en que estrato crees que esta tu aficción?
Kevinex dice: yo te diría en revelar vulnerabilidades, y cuestiones políticas, te digo por qué. La primera de revelar sitios, en qué ayuda? En que otros webmaster vean la vulnerabilidad y puedan parchar ellos mismos esos fallos y asi evitar que personas con un motivo malo puedan hacer daño, sabrían que su sistema que usan en su web tiene fallos, en php nuke, vbulletin, wordpress, etc. La segunda, en cuestiones políticas, por apoyo a las personas que esten en desacuerdo, te doy un ejemplo. El gobierno de Argentina quita el sueldo a los jubilados voy y defaceo la página del gobierno pidiendo justicia! para los Jubilados. Es una manera de apoyar a ellos(jubilados).
Jorge dice: En cierta forma, el defacement nació un poco con el activismo; es decir, la esencia del defacing no la has perdido y veo que lo utilizas como medio de manifestación. Ahora, desde el punto de vista social quizás no este bien visto ¿que piensas al respecto?
Kevinex dice: Claro, una persona como yo, no podría hacer nada contra un gobierno, pero podría aunque sea, hacerles saber, que hay personas que piensan que lo que ellos hacen esta mal. Que pienso sobre desde el punto de vista social, qué.. hay mucha (gente) que no sabe sobre el deface. Podría ver como una cosa mala, o hablar mal de esa persona, en mi caso es así.
Jorge dice: Entonces, desde tu perspectiva ¿qué significado se esconde detrás del defacing?
Kevinex dice: Que se puede usar para ayudar, no solo para perjudicar el trabajo. Yo utilizo el defacing como método de ayuda hacia empresas, u personas con sus webs, no defaceándolas, avisándoles de que su web tiene fallo y si no responden a mi aviso, recurriría al deface para avisar la vulnerabilidad y poner un aviso que el sitio esta en mantenimiento.
Jorge dice: Pero sos conciente que otras personas lo utilizan con fines maliciosos ¿Qué opinión te merece eso?
Kevinex dice: Soy conciente de eso, es más, siento culpa de haber enseñado lo que yo sé a un compañero, ya que este lo usa para motivos malos, por otra parte, en esto siempre hay que estar actualizado, crear uno mismos sus formas de deface, en mi caso para hacer bien, y en conclusión, es algo malo. Y más que ganamos mala fama cuando se usa para motivos maliciosos.
Jorge dice: Eso es verdad. Es muy grato charlar contigo y al parecer, no escribes como otras personas, con k y esas cosas raras :-) Qué estudios tienes?
Kevinex dice: secundaria aún, pero te resumo que conozco bien a una Pc, su hadware, software.
Jorge dice: te suenan los nombres Fenix, Shavax y Pamela? Supongo que Pamela es tu novia.
Kevinex dice: jejeje, si, la girl de my life.
Jorge dice: y todavía seguís con pamela? Hijos supongo que todavía no, qué edad tienes?
Kevinex dice: Sí. No, y tengo 17 años

Kevinex es el creador del grupo RedHackTeam, ahora llamado Team Xeon y es webmaster del sitio www.cuakos.com.

Información relacionada
Desfiguración de sitios web III


# pistus

Ver más

jueves, 19 de febrero de 2009

Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?

La pregunta del título parecería ser la que nos realiza Waledac, que a través de amorosas imágenes y variadas estrategias de Ingeniería Social continúa su bombardeo malicioso de falsas postales para intentar infectar nuestros equipos.

Con una finísima ampliación de sus imágenes, este malware, que para muchos es la evolución de Nuwar, nos presenta nuevas imágenes:

Aunque el hecho de cambiar las imágenes no deja de ser un hecho curioso que manifiesta la manera en que sus creadores emplean la Acción Psicológica, perdón, las estrategias de engaño para manipular las decisiones de los usuarios, no es tan trivial que todavía, y a pesar del ruido que viene causando en la comunidad, el índice de detección siga siendo pobre, ya que menos del 50% de los antivirus lo detecta.

Ahora bien, las acciones que realiza Waledac van un poquito más allá de lo que hasta el momento venimos viendo, ya que combina su método de ataque a través de Drive-by-Download. Es decir, en el código html encontramos incrustado la etiqueta iframe:
http://chatloveonline .com/tds/Sah7
Este tag redirecciona, luego de varios niveles, a un sitio de juegos en línea, desde el cual se intenta engañar nuevamente a los usuarios para que se termine descargando un binario llamado AllSlots.exe (MD5: 90ee59131ea66f1b050916da56400dee) que no es ni más ni menos, que otro código malicioso.

Waledac combina de manera inteligente su batería de instrucciones maliciosas a través de diferentes métodos de engaño de los cuales, de una forma u otra, pretende infectarnos.

Si bien actualmente la tasa de detección del malware es baja, siempre es recomendable correr un scan para prevenir potenciales infecciones o, directamente, no descargar archivos desde sitios o enlaces no confiables.


Información relacionada

Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín
Estrategias de engaño, spam y códigos maliciosos


# pistus

Ver más

miércoles, 18 de febrero de 2009

Zeus Botnet. Masiva propagación de su troyano. Primera parte

Hablar de ataques de Phishing o kits a esta altura de la historia no es ninguna novedad, como tampoco lo es hablar de malware y sus técnicas de infección, cada vez más sofisticadas y cada vez más agresivas; sin embargo la diseminación y casos de infección y fraudes no cesa, incluso, en la actualidad es un negocio, aparentemente muy redituable para quienes están detrás.

Zeus (también conocido como Zbot o wsnpoem), precisamente entra de lleno en la categoría de lo fraudulento y dañino. Se trata de un troyano diseñado básicamente para reclutar zombies PCs y lanzar ataques de phishing, a entidades financieras, bancarias, sitios de redes sociales, robar datos de autenticación de correo electrónico, cuentas FTP, etc., combinando técnicas de scripting, exploit, entre otras.

66.113.136.225 powelldirects.com/awstats/stat1/main .exe
79.135.179.180 anytimeshopforall.com/new_dir/ldr .exe
79.135.187.112 newprogress.info/tmp/ldr .exe
81.176.123.220 light-money.cn/files/ldr .exe
81.176.123.221 conexnet.cn/nuc/exe .php
91.207.117.174 4utraffic.info/tmp/ldr .exe
118.219.232.248 moqawama.co.cc/zv/cfg .bin
208.113.161.124 ebayhelp.co.il/4ebay/5e .txt
115.126.5.50 1.google-credit.cn/q83wi/ld46 .exe
124.217.242.80 custom4all.info/syst/grepko .exe
193.138.172.5 upd-windows-microsoft.cn/zv/ldr .exe
195.2.253.137 mega-3k.com/krot22/rege .exe
195.2.253.186 firebit32.com/mako22/43r .exe
195.55.174.140 www.provis.es/imagenes/menue .exe
201.235.253.22 www.elsanto-disco.com.ar/.z/zeus .exe


211.95.79.6 horobl.cn/dll/cr .txt

213.205.40.169 www.saiprogetti.it/r .exe
216.246.91.49 d1gix.net/forum/load .exe
216.246.91.49 www.commerceonline-service.net/chat/cfg .ini
218.93.202.114 marketingsoluchion.biz/fkn/config .bin
218.93.205.242 cosmosi.ru/lsass .exe
220.196.59.18 infinitilancer.cn/forum/load .php?id=861&spl=7
220.196.59.18 nepaxek-domain.cn/stores/hello .world
220.196.59.18 nepaxek-domain.cn/stores/urko .exe
58.65.236.129 userzeus.com/zw/cfg .bin
58.65.236.129 verified09.com/ldr .exe
58.65.236.129 wcontact.cn/zsadmin/ldr .exe
58.65.237.153 arsofcaribion.com/lder/ldr .exe
67.210.124.90 academcity.com/ic/6e .txt
67.210.124.90 academcity.com/ic/6e .txt
68.180.151.74 emailsupports.com/Info .exe
68.180.151.74 emailsupports.com/z/setup .ini
68.180.151.74 mypage12.com/control/cfg .bin
72.167.232.78 powelldirects.com/awstats/usbtn/conf .sts
72.233.79.18 i-love-porno.com/z/ldr .exe
72.9.154.58 daimtraders.com/vateranery/imgpe .bin
74.86.115.14 arinina.com/cfg/ntdrv32 .exe
77.222.40.33 chixxxa.com/tru/ldr .exe
78.159.96.95 zonephp.com/us/us1 .exe
85.12.197.41 danacompany.ru/css/cs .bin
85.17.109.10 sjfdhw395t.com/newzz/cfg .bin

Resulta bastante peligroso si consideramos que, además de realizar las típicas acciones del malware, puede ser conseguido por cualquier persona que deposite una determinada cantidad de dinero en la cuenta de sus creadores.

Quizás este sea uno de los mejores fundamentos para argumentar el por qué de la gran cantidad de variantes de “zeus” que se encuentran In-the-Wild asechando nuestros sistemas buscando reclutar zombies. Lo cierto es que, aunque no hace honor a su nombre, es una de las botnet más grandes del momento.

Incluso, aunque esta última característica se vea amenaza por otras “alternativas” del mundo botnet como Waledac, el reciente Adrenalin, o la menos importante (en magnitud) Asprox (también conocida como Danmec), la verdad es que debemos ser cautelosos para no ser víctimas de estas amenazas que siempre buscan llevar a cabo con éxito su cometido: obtener nuestro dinero y recursos computacionales.

Información relacionada
Phishing Kit In-the-Wild para clonación de sitios web
Waledac más amorozo que nunca
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs
Ataque de malware vía Drive-by-Download


# pistus

Ver más

martes, 17 de febrero de 2009

AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro

AntiSpyware 2009 es un conocido scareware (o rogue) cuyas acciones características comprenden, entre otras, la saturación de la conexión a Internet y el despliegue de molestas ventanas emergentes que aluden de manera dramática a la infección de nuestro equipo, proponiendo la compra de la versión "paga" del malware a través de Internet.

Este scareware se encuentra operando desde el año 2007, cuando era conocido bajo el nombre AntiSpyware y durante el 2008 como AntiSpyware 2008, y actualmente ha ampliado su gama de propuestas de engaño diseminando una cantidad importante de sitios web que lo alojan recurriendo, incluso, a dominios .pro (profesional).

Bajo la IP 74.54.156.235, alojada en Dynapp Inc - Georgia. EEUU, se esconden los siguientes dominios:

drivers .pro
internetexplorer .pro
javascript.pro
mediaplayer.pro
fixfileextension.com
2squared.com
adwarealert.com
adwarebot.com
antispyware.com
antispywarebot.com
erroreasy.com
errorfix.com
errorkiller.com
errorsmart.com
errorsrepair.com
errorstool.com
errorsweeper.com
evidenceeraser.com
macrovirus.com
malwareremovalbot.com
privacycontrol.com
regfixpro.com
registryfox.com
registrysmart.com
regsweep.com
smitfraudfixtool.com
spywarebot.com
spywarestop.com
updatesregistry.com
paretologic.com
nuker.com
mykeylogger.com
Activexrepair.com
Aolerrors.com
Audiodeviceerrors.com
noadware.net


La mayoría de los dominios comparten diseño cambiando sólo el nombre de la falsa herramienta de seguridad u optimización.

Por último, nos encontramos con dos datos que vale la pena destacar, uno interesante y otro, más que interesante, preocupante.

El primero de ellos es que este scareware recurre también a la potencia de compresión del programa 7zip para comprimir los binarios dañinos disminuyendo así su tamaño en casi un 70%. El tamaño original del malware descargado es 2.50MB (MD5: c148174afe2e9e36e56a6ffd7fc68cb6); sin embargo, al descomprimirlo, su peso asciende a 33.3MB (MD5: 02cd088fd922197d9d5fda9890de911c).

El segunda dato interesante pero a la vez muy preocupante, es que el índice de detección de este malware es extremadamente bajo; dato que podemos apreciar a través del reporte de VT realizado sobre el binario descargado.

Información relacionada

Una recorrida por los últimos scareware III
Nueva estrategia de IS para diseminar scareware
Atacando sistemas Mac a través de falsa herramienta de seguridad

# pistus

Ver más