Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 9 de diciembre de 2009

Fusión. Un concepto adoptado por el crimeware actual II

Cada vez es más habitual que en los procesos de investigación nos encontremos con que en un mismo servidor se alojan, "operando" de forma activa, varios crimeware del tipo Exploit Pack desde los cuales controlan y administran las zombis que forman parte de su negocio fraudulento.

Hace un tiempo comentábamos sobre ZeuS y ElFiesta conviviendo en un mismo entorno, y cumpliendo los mismos objetivos.

En esta oportunidad, la fusión se encuentra entre Fragus (un crimeware cada vez más conocido) y ElFiesta. Ambos paquetes se encuentran alojados en el mismo servidor. Sin embargo, aunque cabe la posibilidad, esto no significa que estén siendo operados por el mismo botmaster.

El dominio en el cual se encuentran alojados es el siguiente:

En el caso de Fragus se encuentra en http://hotgirldream.net/far/ y en el caso de ElFiesta, se aloja en otra carpeta, la ruta es http://hotgirldream.net/content/. Como podemos apreciar, comparten el servidor, cuya dirección IP es 210.51.166.233, localizado en Yizhuang Idc Of China Netcom, Beijing.

Esto demuestra que las oportunidades de "negocio" no pasan solamente por la venta de crimeware, malware, exploit pack y demás actividades fraudulentas, sino que otra de las alternativas es ofrecer la infraestructura que permita, en función de su capacidad computacional, optimizar los procesos delictivos.

Información relacionada
Fusión. Un concepto adoptado por el crimeware actual
Fragus. Nueva botnet framework In-the-Wild
ZeuS Botnet y su poder de reclutamiento zombi
ElFiesta. Reclutamiento zombi a través de múltiples amenazas

Jorge Mieres

Ver más