Estrategia BlackHat SEO propuesta por Waledac

Waledac es el nombre del troyano encargado de reclutar zombis PC's para formar parte de su botnet, cuya función principal es la propagación de uno de los más comunes spam que a diario recibimos: Canadian Pharmacy.

Muchos profesionales de seguridad afirman que es la evolución de otra famosa botnet llamada Storm, o Nuwar dependiendo de la compañía antivirus.

Al igual que Storm, una de las características más interesantes de Waledac, además de la utilización de técnicas avanzadas como Fast-Flux, son las estrategias de Ingeniería Social, que en su caso, comenzaron con una campaña propagandista en relación al día de los enamorados, y que renueva cada cierto tiempo, siendo su última maniobra un supuesto programa para enviar mensajes SMS.

Sin embargo, Waledac también hace uso de técnicas de posicionamiento web poco éticas empleadas de manera estratégica para atraer llegadas hacia los diferentes dominios, que hoy redirigen hacia la fraudulenta farmacia en línea, que emplea para propagar el troyano; llamada BlackHat SEO.

Algunos de los dominios empleados por esta amenaza son:

yourvalentineday .com
virtualesms .com
usabreakingnews .com
urbanfear .com
terrorismfree .com
terrorfear .com
terroralertstatus .com
smspianeta .com
smsdiretto .com
smsclubnet .com
photoblogsite .com
orldlovelife .com
nuovosms .com
mobilephotoblog .com
miosmsclub .com
globalantiterror .com
freeservesms .com
freecolorsms .com
fearalert .com
easyworldnews .com

Cada uno de los dominios fueron creados pensando como todo un estratega, utilizando palabras comunes para formar la composición de la URL. Entre ellas:

valentine - your - day - virtual - sms - break - king - news - urban - terror - fear - mobile - china - blog - life - best - anti - poems - ship - love - central - online - great - coupon - club - ltd - free - adore - poem - lyric - world - sales - super - portal - code - site - eye - blue - dot - funny - smart - group - fun - songs - wireless - city - wap - link - good - review - who - cher - help - radio - report - the - lovers - long - fm - michigan - chat - loving - romantics - track - cherish - space - my - digital - country - discount - tax - tnt - letter - against - mazda - car - speed - zone - dealer - cars - buy - tribute - auto - motive - parts - death - taxi - work - care - direct - pet - cab - bead - net - ming - water - data - lose - can - pool - all - pond - wager - team - doc - now - fast - bank - expo - wale - job - barack - obama - guide - greeting - december - christmas - lights - year - regards - white - mira - bella - project - company - top - father - its - media - just - gift - garb - live - cheap - service - home - black

Esto responde a la campaña de BlackHat SEO que Waledac utiliza para atraer potenciales víctimas, y que cada vez más códigos maliciosos emplean para lograr un posicionamiento web que les garantice de manera temprana, el acceso a los sitios maliciosamente creados para diseminar malware.

Información relacionada
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

# pistus

Ver más

Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II

Como dijo alguna vez Kevin Mitnik "La gente no está preparada para el engaño a través de la tecnología". Quizás, esta afirmación de la cual calculo coincidimos muchos de quienes nos dedicamos al ámbito de la seguridad, sea parte de la respuesta al ¿por qué de la efectividad de esta nada compleja técnica?

Básicamente, se trata nuevamente de Ingeniería Social del tipo visual aprovechando imágenes pornográficas para propagar malware.

El modo de operación, como siempre, se presenta la imagen del supuesto video, pero al hacer clic para visualizarlo aparece una ventana de alerta indicando la falta de un códec, ejecutándose así el intento de propagación del malware.

• codec.exe 32/40 (80%) - (MD5: 2b128610c3c32bc6d1da4bbf97901768)
  

En este caso, la estrategia forma parte de la campaña de diseminación de un conocido scareware llamado WinPC Antivirus cuya tasa de detección es del 80%.

Esto indica lo "universal" de la técnica ya que sin responder a un tipo determinado de malware, constituye un método y vector sumamente explotado para engañar a los internautas y propagar la amenaza a través de una temática ampliamente demandad en Internet, como lo es la pornografía.

Información relacionada
IS visual y el empleo de pornografía como vector de propagación e infección
Ingeniería Social visual para la propagación de malware
Propagación masiva de malware en falsos códecs
Técnicas de engaño que no pasan de moda

# pistus

Ver más

ZeuS Carding World Template. Jugando a cambiar la cara de la botnet

Claro está que los cyberdelincuentes malgastan emplean mucho tiempo en pensar nuevas alternativas de propagación/infección y estrategias de Ingeniería Social con el ánimo de captar cada vez más nuestra atención como "esclavos" en Internet :-).

Aunque parezca una cuestión trivial, no es para nada casual. Sino que responde al crimen organizado del cual los códigos maliciosos son el arma principal del crimeware actual y la industria rusa uno de sus mayores exponentes.

Sin embargo, parece ser que "los chicos malos", de vez en cuando se toman un respiro para "jugar" a mejorar el diseño, desde el punto de vista gráfico, de sus creaciones.

Este es el caso de una, no nueva (ya que recuerdo haber visto algo al respecto), piel creada para mejorar la vista del panel de administración de la botnet ZeuS. Seguramente, creada por algún botmaster aburrido de vender siempre la misma interfaz de control :-)

Este template, cambia completamente la vista de la aburrida y monótona interfaz que por defecto trae ZeuS, transformándolo en algo... un poco más simpático. De hecho, algunas versiones de este crimeware se venden con el template ya incorporado.

Así se ve ZeuS por defecto; en este caso, durante el proceso de instalación de la botnet y...

... así durante el proceso de autenticación para acceder al panel de administración.

Al aplicar el template, la vista del panel se transforma en lo siguiente:

En cuanto a la interfaz de autenticación, se ve de la siguiente manera:

El diseño, como el nombre del template lo indica, hace alusión a otro delito consistente en el uso ilegítimo de números y tarjetas de crédito por parte de un tercero (carding) y la imagen hace honor a ello.

Esto nos da una clara idea sobre lo que buscan quienes operan desde la vereda de los ciberdelítos. Obtener dinero de manera fraudulenta explotando el factor humano.

Información relacionada
Entidades financieras en la mira de la botnet Zeus. Segunda parte
Entidades financieras en la mira de la botnet Zeus. Primera parte
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Zeus Botnet. Masiva propagación de su troyano. Primera parte
LuckySploit, la mano derecha de Zeus

# pistus

Ver más

Una recorrida por los últimos scareware VI

El scareware se ha masificado. Sus creadores canalizan sus esfuerzos en explotar todos los vectores de ataque que pueden empleando diferentes técnicas y metodologías de infección donde el factor humano es el blanco perfecto y el dinero su máximo objetivo.

System Protector
MD5: b53da5469558504015005dd31dc2fb78
IP: 84.19.184.160 / 209.250.241.105 / 209.250.241.141
- Thuringen - Erfurt - Keyweb Ag Ip Network
Plataforma: Windows
Dominios asociados
sys-look-scan .biz System-protector .net ms-scan .biz; ms-scan .info; ms-scan .net

VT Report: 35/40 (87.5%)

Secure Expert Cleaner
MD5: 6737ff1d0c98962b515875283458095d
IP: 94.102.51.14
- Noord-holland - Amsterdam - As29073 Ecatel Ltd
Plataforma: Windows
Dominios asociados
cleanerpcsolution .com; comdwnld .com; pcantimalwaresolution .com; removespywarethreats .com; securecleanersolution .com; securecleanertool .com; xpread .net
VT Report: 13/39 (33.34%)

P Antispyware09

MD5: cbad878ad22ca50209f5e0521550cb5f
IP: 65.110.60.122 / 65.110.60.123
- Spain - Julio Brasa
Plataforma: Windows
Dominios asociados
pantispyware09 .com; www.pantispyware09 .com; webantispy .com; tantispyware .com; system-cleaner .net

VT Report: 23/37 (62.16%)

CoreGuard Antivirus 2009
MD5: 4d74eb4466c51e55f7b49135bc36e64d
IP: 72.232.187.197 / 78.46.151.181
- Bayern - Gunzenhausen - Hetzner
Plataforma: Windows
Dominios asociados
bitcoreguard .net; bitcoreguard .com; guardlab .com; guardlab .biz; guardlab .net; guardav .com; coreguard2009 .com; coreguard2009 .biz; coreguard2009 .net; coreguardlab2009 .biz; coreguardlab2009 .com; coreguardlab2009 .net; guardlab2009 .biz; guardlab2009 .net; guardlab2009 .com

VT Report: 17/40 (42.50%)

Otra alternativa común de este tipo de malware es el scareware scam, cuya página maliciosamente diseñada no ofrece la descarga del instalador sino que insita a su compra a través de un formulario que solicita datos sensibles para el usuario, necesarios para realizar una transferencia bancaria por el monto que ronda entre los USD 35 y USD 75.

Demás esta decir que el usuario nunca recibe el supuesto programa de seguridad sino que inmediatamente después de envías sus datos, recibe, en la mayoría de los casos, una ventana informando que por algún motivo no se pudo procesar la información.

deleteallspyware .com (94.76.212.241)

advancedpcscanner .com (85.17.254.136)
adware-removal-tool .com (78.47.91.153)
advancedproantivirusscanner .com
antimalwarescannerv2 .com
antimalwaresecurityscan .com
antiviruspowerfulscanv2 .com
antivirusquickscanv2.com
fastantimalwareproscanner .com
fastantimalwarescan .com
pcsoftwarepayments .com
protectionauditview .cn
securityhelpcenter .com
softwareoverworld .cn
totalsystemguard .com (209.44.126.241)
totalvirushield .com (92.241.180.114)
home-a-virus-2009 .com (80.79.118.186)
h-a-virus-2009 .com
h-a-virus2009 .com
h-anti-virus-2009 .com
h-anti-virus2009 .com
h-antivirus2009 .com
h-avirus2009 .com
ha-virus2009 .com
home-av-2009 .com
homeantivirus2009 .com
homeav-2009 .com
homeavirus2009 .com
bestcountedantivirus .com (94.247.2.215)
addedantiviruslive .com
addedantivirusonline .com
addedantiviruspro .com
addedantivirusstore .com
antivirus-plus-new .com
antivirusplus2009 .net
av-plus-support .com
bestexamineviruspro .cn
bestfriskviruslive .cn
bestnetcheckonline .com
bigdefense2u .cn
easyaddedantivirus .com
easybestprotection .cn
easycheckpoisonpro .cn
easydefenseonline .cn
easyexamineillness .cn
easyincomeprotection .cn
easypersonalprotection .cn
easywebchecklive .com
easywebexamine .com
examineillnesslive .cn
freedefense2u .cn
freedefenseforyou .cn
friskdiseasestore .cn
internet-check .net
myascertainpoison .cn
mycheckdiseasepro .cn
mydefense4u .cn
mydefense4you .cn
myguardforyou .cn
myplusantiviruslive .com
myplusantiviruspro .com
newguard4u .cn
newguard4you .cn
onlinescanweb .com
onlinewebscan .com
realantivirusplus .com
refugepro .cn
safeyouthnet .com
securesoftinternet .com
security-check-center .com
theantivirusplus .com
traffchecking .com
yourascertainpoison .cn
yourcountedantivirus .com
yourfriskviruspro .cn
yourguard4you .cn
yourguardforyou .cn
yourguardonline .cn
yourguardpro .cn

La siguiente información, no sólo sirve para conocer cuáles son las últimas alternativas ofrecidas por este tipo de códigos maliciosos, sino que también sirve para disminuir la ventana de infección bloqueando cada una de las URL's.

Información relacionada
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# pistus

Ver más

Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección

Las estrategias de engaño son muy diversas y sólo se limitan a la imaginación de quien las explota. Teniendo en cuenta también que los sitios con contenidos pornográficos constituyen uno de los recursos con mayor demanda en Internet, es lógico pensar que sean aprovechadas con fines maliciosos como es habitual a través de Ingeniería Social del tipo visual.

Este es un recurso que probablemente, ningún propagador de malware piense dejar de lado por mucho tiempo, y sin importar el tipo de presentación que utilicen para visualizar un supuesto video pornográfico que nunca se verá, el objetivo es siempre el mismo y se traduce en dinero.

La siguiente secuencia de imágenes es un ejemplo concreto que representa está técnica de Ingeniería Social que no pasará de moda. Hipotéticamente hablando, supongamos que hemos llegado hasta el siguiente sitio a través de alguna de las tantas vías que propone Internet. Este es el punto donde generalmente se tiende a "elegir" el tipo de video...

... donde luego de seleccionarlo se presenta la típica ventana de video streaming.

Luego de unos segundos, se nos advierte de la necesidad de instalar un componente que nos permita visualizar el contenido web, e inmediatamente después se ofrece la descarga del supuesto componente que en realidad es un malware con un bajo índice de detección.

• set.exe 6/40 (15.00%) - (MD5: a39b53afa8ac6bfb52b4ec16c0630916)
  

Sin embargo, la página fue creada exclusivamente para llevar a cabo la propagación del malware ofreciendo, además del contenido porno, un supuesto reproductor de video llamado BB-PlayeR. Un troyano con una tasa de detección mucho más aceptable que la del binario anterior.

• BB-Player.exe 28/40 (70%) - (MD5: 8d2e1cf60f7fdf9edca3dfba5bf73cc0)
  

Este ejemplo, tomado de un caso real y activo actualmente, constituye el modus operandi de propagación de malware explotando Ingeniería Social visual explotando como temática de "enganche" la pornografía.

Información relacionada
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual
Ingeniería Social visual para la propagación de malware
Nueva estrategia de IS para diseminar scareware
Propagación masiva de malware en falsos códecs

# pistus

Ver más