Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 17 de septiembre de 2009

Phoenix Exploit’s Kit. Otra alternativa para el control de botnets

Se trata de otra de las alternativas existentes en el mercado clandestino de crimeware. En este caso, otra aplicación web desarrolla en php y originaria de Europa del Este. Phoenix Exploit’s Kit.

Este paquete se compone de nueve (9) exploits:
  • IE6 MDAC
  • MS Office Snapshot
  • PDF Collab / printf / getIcon en Adobe Reader
  • IE7 MEMCOR en Internet Explorer 7, Windows XP y Windows Vista
  • FF Embed
  • Flash 9 en plugin vulnerable de Shockwave Flash
  • IE6/IE7 DSHOW
  • JAVA en JRE
  • Flash 10 en las versiones 10.0.12.36 y 10.0.22.87 de Flash Player
En cuanto al procesamiento de información, Phoenix permite, como es habitual en la mayoría de este tipo de programas, obtener datos estadísticos sobre los tipos de navegadores (MSIE, Firefox, Opera, entre otros), versiones de los navegadores, tipo de sistemas operativos infectados, paises de origen y algunos datos mas que en su conjunto se transforman en un proceso de Inteligencia habitual llevado a cabo por los botmasters.

Si bien Phoenix Exploit’s Kit no es un desarrollo reciente, su primera versión surgió en el auge de este tipo de crimeware (2007), actualmente se encuentra en el “negocio” clandestino a un precio competido que ronda los USD 400 al ser adquirido con un dominio.

Phoenix se suma a la colección y a la oferta de un mundo delictivo que día a día mueve el engranaje underground de los negocios oscuros y clandestinos del mercado ruso de crimeware.

Información relacionada
iNF`[LOADER]. Control de botnets, marihuana y (...) malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware...
Los precios del crimeware ruso. Parte 2
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Jorge Mieres

Ver más

Green IT utilizado para la propagación de scareware II

Anteriormente habíamos visto la utilización como estrategia de engaño y “recurso de atracción”, ciertos aspectos relativos a la llamada computación verde (Green IT), empleando fundamentos de venta fuertes para relacionar la problemática que plantea Green IT con los códigos maliciosos desde una perspectiva un tanto analítica.

Sin embargo, existen aspectos técnicos que podemos relacionar y cuyos datos procesar de forma sencilla para entender, con mayor nivel de profundidad, el modo de operación de los ciberdelincuentes que se encuentran detrás de estas amenazas y el uso, o abuso, de diferentes técnicas.

Continuando con el ejemplo del anterior post que habla sobre el scareware Green IT, por el momento se desprende que los dominios utilizados para propagar la amenaza se encuentran alojados bajo la dirección IP 174.142.96.2. Estos dominios son:
  • avsolutiondwn .info
  • green-av-pre .com
  • green-av-pro .com
  • my-green-av-pro .com
  • my-green-av .com
  • ntrytodownload .info
  • progresivescan .info
  • zp4.green-av .com
El hosting se encuentra ubicado en Canada Canada. Precisamente en Montreal, en la compañía Iweb Technologies Inc que ofrece servicios de alojamiento web a bajo costo.

Cabe destacar que en esta compañía se han alojado códigos maliciosos tipo scareware como iMunizator, MacSweeper (ambos diseñados para explotar MacOS), Antivirus Best, Total Security, AV Protect y Virus Doctor, entre tantos otros.

En cuanto al Número de Sistema Autónomo (Autonomous Systems Number - ASN) se trata del 32613 (AS32613)

Incluso, según el servicio FastFlux Tracker de dnsbl.abuse.ch, este ASN se encuentra asociado a actividades relacionadas con botnets que hacen uso de técnicas Fast-Flux.

En base a este poco volumen de información, se puede deducir fácilmente que cuando de hacer dinero a través de mecanismos fraudulentos se refiere, entran en juego diferentes actores y técnicas que interactúan entre sí para obtener un mayor rédito económico, intentar que la amenaza propagada llegue a la mayor cantidad de usuarios posible y, al mismo tiempo, el rastreo del origen de la diseminación se transforme en una tarea engorrosa.

Información relacionada
Una recorrida por los últimos scareware X
Atacando sistemas Mac a través de falsa herramienta de seguridad
Entendiendo las redes Fast-Flux

# Jorge Mieres

Ver más