Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 5 de diciembre de 2009

Campaña de desinformación para propagar malware

La desinformación consiste básicamente en falsear o manipular la información de manera tal que quien la recibe termine creyendo en algo completamente falso, y de lo cual el originador obtiene alguna ventaja. Por ejemplo, el rumor es una herramienta empleada en las campañas de desinformación. A su vez, la desinformación es una herramienta que permite obtener información útil en tiempo y forma (Inteligencia).

Trasladado este concepto al ámbito informático, no es ni más ni menos que una metodología de Ingeniería Social que cada vez más utilizan los desarrolladores de códigos maliciosos para intentar atraer la confianza de los usuarios y aprovecharse así de esa condición para ejecutar el proceso de infección.

Habitualmente lo vemos en las páginas que diseminan malware del tipo scareware (también conocido como rogue), donde encontramos imágenes de certificaciones como Virus Bulletin o AV-Comparatives, o algunas otras como PC Magazine o PC World que si bien no cumplen la misma función que las anteriormente ya que son revistas conocidas que gozan de "confianza" entre el público.

Otra alternativa centra sus esfuerzos en tratar de demostrar que esa "solución" (scareware) es la mejor. Esto se hace a través de falsas comparativas donde se pone en tela de juicio los niveles de detección de compañías antivirus ampliamente conocidas en el mercado.

Ambas estrategias de engaño apelan a lo que se conoce bajo el concepto de autoridad que representan estas certificaciones y publicaciones en el campo "real" de la seguridad antivirus y de la tecnología informática respectivamente.

En este sentido, recientemente he detectado otra metodología de engaño que también se encuentra orientada a emitir desinformación con el objetivo de incentivar a los usuarios a creer en la información y actuar en consecuencia.

Se trata de simular que el archivo ofrecido se encuentra libre de códigos maliciosos, apelando también a la autoridad, pero en este caso, de organizaciones que permiten verificar la integridad de los archivos a través de un proceso online que somete los archivos a las soluciones antivirus con mayor confianza en el mercado. Por ejemplo, servicios como VirusTotal o VirScan. A continuación vemos una de las capturas.

Los dominios involucrados se encuentran alojados en la IP 213.5.64.20, ubicada en los Países Bajos (Netherlands Altushost Inc) en pero no todos diseminan la amenaza. Entre ellos:

safehostingsolutions.com/download.html
fileaddiction.com/download.html
freedatatransfer.com/download.html
freedownloadthanks.com/download.html
megasecuredownload.com/download.html
qualityupload.com/download.html

Los archivos que se descargan tienen los siguientes nombres:
  • Hpack Generator.exe (91b31ea8c551397cd5b1d38ec1aa98dd) - Result: 8/40 (20.00%)
  • UAV Generator.exe – Idem
  • Knight Generator.exe – Idem
  • LG Generator.exe – Idem
  • Kings Generator.exe – Idem
  • DBlocks Generator.exe (53e3256bef0352caf794b641f93a32d5) - Result: 6/40 (15%)
Como podemos notar, que además de la nueva propuesta de engaño que a pesar de ser bastante trivial cuenta con un alto impacto de efectividad, el nivel de detección en los dos códigos maliciosos es muy bajo; representando sólo entre el 15% y 25% de 41 motores antivirus.

No es para alarmarse pero sí para estar atentos.

Información relacionada
Una recorrida por los últimos scareware XVIII
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
Técnicas de engaño que no pasan de moda

Jorge Mieres

Ver más