Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 19 de octubre de 2009

Pornografía. Excusa perfecta para la propagación de malware II

Una de las temáticas más explotadas para la diseminación de códigos maliciosos es la pornografía. Evidentemente todo lo relacionado a lo porno despierta cierta característica, propia de todo ser humano, que responde a un concepto tan antiguo como la vida misma: la lujuria.

Asimismo, esta característica se engloba dentro de los llamados "pecados capitales" y representa un punto débil para los usuarios que buscan en Internet este tipo de material sin atender buenas prácticas de prevención; y cuando la excusa utilizada para ejecutar la acción de Ingeniería Social es la pornografía, la propagación de malware provoca un alza en el índice de infección de la amenaza.

En este caso, nos encontramos con un sitio web que simula respetar las normas que indican dejar en evidencia que el contenido del mismo posee material explícito sólo para mayores de edad; sin embargo y como es de esperar, marca el inicio de la estrategia de engaño.

En cualquiera de los botones en los que hagamos clic (enter site! o exit now! respectivamente) el efecto es el mismo,…

…se redirecciona a una página que despliega imágenes impúdicas que al seleccionar cualquiera de ellas, redirecciona nuevamente a otra que completa el ciclo de engaño.

Utilizando la típica maniobra de Ingeniería Social visual, pretende engañar al usuario con una imagen que especifica la necesidad de descargar la aplicación Flash Player 10, ofreciendo a los pocos segundos la descarga de un archivo llamado "adobeflashplayerv10.0.32.18.exe" (5f49907a0e20b4ddebc6c31bde9eb6f1), que es el malware con el nombre "mimetizado”.

Este código malicioso posee una tasa de detección baja (10/41 - 24.39%). Esto significa que puede tener un índice muy alto de infección en un rango de tiempo muy corto.

Entre otras acciones comunes del malware (manipular claves del registro, crear archivos, monitorear proxy), establece una conexión con la dirección IP 212.117.169.163 desde la cual descarga otro binario. En este caso, llamado "setup.exe" (839e68b258ca56a5693a47bd610415f5) que al igual que el anterior también es detectado por un número bajo de antivirus (11/39 - 28.21%).

Como podemos deducir, las maniobras que relacionan al malware con la pornografía son muy activas, y constituyen uno de los vectores más empleados para las actividades de engaño y diseminación de todo tipo de códigos maliciosos.

Información relacionada
Pornografía. Excusa perfecta para la propagación de malware
Técnicas de engaño que no pasan de moda
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección

Jorge Mieres

1 comentarios:

Anonymous dijo...

Vaya!,parece que este troyano es la creme de la creme, pero sin duda alguna hay códigos maliciosos muchísimo mas sofisticados que no tienen tanta repercusión mediatica y son capaces de infectar cientos de sistemas silenciosamente mediante el uso de amplias técnicas de ingenieria social como por ejemplo torpig o waledac.Zeus al lado de las grandes botnets es solo un juguete para script kiddies.

Espero que sigas posteando contenido de calidad como siempre haces!

Saludos!!

Publicar un comentario en la entrada