Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 19 de octubre de 2009

Pornografía. Excusa perfecta para la propagación de malware II

Una de las temáticas más explotadas para la diseminación de códigos maliciosos es la pornografía. Evidentemente todo lo relacionado a lo porno despierta cierta característica, propia de todo ser humano, que responde a un concepto tan antiguo como la vida misma: la lujuria.

Asimismo, esta característica se engloba dentro de los llamados "pecados capitales" y representa un punto débil para los usuarios que buscan en Internet este tipo de material sin atender buenas prácticas de prevención; y cuando la excusa utilizada para ejecutar la acción de Ingeniería Social es la pornografía, la propagación de malware provoca un alza en el índice de infección de la amenaza.

En este caso, nos encontramos con un sitio web que simula respetar las normas que indican dejar en evidencia que el contenido del mismo posee material explícito sólo para mayores de edad; sin embargo y como es de esperar, marca el inicio de la estrategia de engaño.

En cualquiera de los botones en los que hagamos clic (enter site! o exit now! respectivamente) el efecto es el mismo,…

…se redirecciona a una página que despliega imágenes impúdicas que al seleccionar cualquiera de ellas, redirecciona nuevamente a otra que completa el ciclo de engaño.

Utilizando la típica maniobra de Ingeniería Social visual, pretende engañar al usuario con una imagen que especifica la necesidad de descargar la aplicación Flash Player 10, ofreciendo a los pocos segundos la descarga de un archivo llamado "adobeflashplayerv10.0.32.18.exe" (5f49907a0e20b4ddebc6c31bde9eb6f1), que es el malware con el nombre "mimetizado”.

Este código malicioso posee una tasa de detección baja (10/41 - 24.39%). Esto significa que puede tener un índice muy alto de infección en un rango de tiempo muy corto.

Entre otras acciones comunes del malware (manipular claves del registro, crear archivos, monitorear proxy), establece una conexión con la dirección IP 212.117.169.163 desde la cual descarga otro binario. En este caso, llamado "setup.exe" (839e68b258ca56a5693a47bd610415f5) que al igual que el anterior también es detectado por un número bajo de antivirus (11/39 - 28.21%).

Como podemos deducir, las maniobras que relacionan al malware con la pornografía son muy activas, y constituyen uno de los vectores más empleados para las actividades de engaño y diseminación de todo tipo de códigos maliciosos.

Información relacionada
Pornografía. Excusa perfecta para la propagación de malware
Técnicas de engaño que no pasan de moda
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección

Jorge Mieres

Ver más

Malware Intelligence Linkedin Group

Malware Intelligence es un proyecto que por el momento se encuentra en su etapa inicial y forma parte de un sitio web que a futuro estaré poniendo a disposición de toda la comunidad de Seguridad de la Información en general y Seguridad Antivirus en particular.

A continuación dejo una captura que corresponde a una de las secciones del sitio.

Su creación fue motivada por una serie de proyectos en materia de seguridad cuya intención es canalizarlos a través de ese canal pero al mismo tiempo proyectarlo hacia todos aquellos que deseen colaborar.

En este momento el grupo cuenta con 56 miembros y todavía no he dado a conocer los proyectos (sin embargo espero poder hacerlo para arrancar con todo el próximo año). Por lo que todos aquellos que quieran participar son bienvenidos.

Pueden acceder al grupo desde aquí.

Jorge Mieres

Ver más