Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 1 de diciembre de 2009

Campaña de propagación de Koobface a través de Blogspot

Una masiva campaña de propagación del gusano koobface se encuentra In-the-Wild utilizando como estrategia blogs generados desde el servicio Blogspot.

Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad.

Los dominios de blogspot empleados como cobertura para la propagación son:

pannullonumair.blogspot.com
haladynalatosha.blogspot.com

macdougalmuskan.blogspot.com

mailletjamaica.blogspot.com

ledrewrooney.blogspot.com

brasenoktayoktay.blogspot.com

toludestany.blogspot.com

edgarbillison.blogspot.com

piotrowiczlyanne.blogspot.com

brochoiredeedee.blogspot.com

decuyperantohny.blogspot.com

derrenpassini.blogspot.com

elsenelsenumthun.blogspot.com

elsyelsysalah.blogspot.com

fanjonappuappu.blogspot.com

fredrikadantos.blogspot.com

genelleabril.blogspot.com

gilkerharjyot.blogspot.com

hadzilashawn.blogspot.com

insalacotecwyn.blogspot.com

janitasaels.blogspot.com

jodelinscheufler.blogspot.com

jones-allentammey.blogspot.com

jurgisbooty.blogspot.com

karanjeetisoardi.blogspot.com

dralleboyeboye.blogspot.com

maidenhermann.blogspot.com

messer-bustamantetimpriss.blogspot.com

murachaniananoushka.blogspot.com

nevnevsculthorpe.blogspot.com

parrisvistisen.blogspot.com

porierkunlekunle.blogspot.com

rotermundraimon.blogspot.com

sharonyacorvil.blogspot.com

sodorabardan.blogspot.com

tendaiblunk.blogspot.com

turskeybrianna.blogspot.com

zhuochengbate-pelletier.blogspot.com

ziziziziboyter.blogspot.com


Quien accede a alguno de estos dominios es redireccionado a una página que simula la típica pantalla de YouTube. A continuación vemos una captura.

Inmediatamente después, se intenta descargar un binario llamado "setup.exe" (md5 6d8ac41c64137c91939cced16cb5f2fe) que posee una tasa de detección media baja. Este binario, a su vez se encarga de descargar y ejecutar otros códigos maliciosos.
Cada uno de estos archivos son descargados desde dominios del estilo "homemadesandwiches.com/.sys/?getexe=ff2ie.exe".

El binario v2captcha.exe se encarga de romper el captcha que solicita blogspot para el registro de blogs, creando de manera aleatoria y masiva los mismos, y redireccionando luego a la descarga de koobface a través de, como lo mencioné en un principio, una falsa página de YouTube que utiliza la misma estrategia de ingeniería social visual utilizada en otras campañas de propagación similares.

Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus.

Información relacionada
Simbiosis del malware actual. Koobface

Jorge Mieres

2 comentarios:

Anonymous dijo...

Check out the link below for some additional domains utilizing the /.sys/ format found to be distributing Koobface

http://malc0de.com/tools/db.php?search=%2F.sys%2F

Cheers

Jorge Mieres dijo...

Hi bro! thank you very much for the information. Personally I like the work they are doing in Malc0ode ;P

Publicar un comentario en la entrada