Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 10 de abril de 2009

Falsas páginas utilizadas como vector de propagación de malware

Las estrategias de engaño a través de Ingeniería Social se encuentran a la orden del día en Internet y representan el comienzo de potenciales riesgos de seguridad; siendo, la clonación o la presentación de falsas páginas web, uno de los vectores más explotados para romper la seguridad del factor humano.

Algunas son más complejas que otras, y algunas más llamativas o mejor elaboradas que otras; sin embargo, por más trivial que sea el engaño, su efectividad irá en relación directa con el nivel de educación que, en materia de seguridad, tenga quien accede a la trampa del delincuente informático.


En definitiva, la siguiente captura es un ejemplo con el que recientemente me he encontrado. Se trata de una falsa página que descarga un archivo binario llamado
surprise.exe (MD5: 9bd6a9cba442a88839a185eb47c2008c) que es una variante del código maliciosos Virtumonde, también llamado Monde o Vundo.

Para que se visualice un componente de cotejo, la próxima es una captura de la página real de sendspace.

Una estrategia muy empleada a través de estas técnicas, es el uso de nombres de dominios similares al real; es decir, la página falsa es http://sendspace-us .com mientras que la real es http://sendspace.com. Esto constituye, en este caso, el principio de una potencial infección.

Otro dato más que interesante es que, el dominio que representa la falsa página se encuentra en la dirección IP
196.2.198.241, cuyo sistema autónomo es AS33777 de EgyptNetwork.

A su vez, esta dirección IP representa varios dominios más.

cd-soft.net
darthvader777.com

egns.vg
good1soft.com

greatlovingcore.net

kassperskylabs.cn

kentty.net

searchingforthevhostipadres.com

sendspace-us.com

sendspace.com.bz

throbilskirnir.com

thronofodin.com

ustechservic.com.cn

www.cd-soft.net

www.charming-woman.com

www.darthvader777.com

www.dx-software.com

www.egns.vg

www.good1soft.com

www.greatlovingcore.net

www.icm-com-services.com

www.sendspace.com.bz

www.throbilskirnir.com

www.thronofodin.com

www.ustechservic.com.cn


Como podemos apreciar, incluso uno de los dominios de la lista es kassperskylabs .cn, muy similar al de la conocida empresa de seguridad antivirus.


Información relacionada
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web


# pistus

Ver más