Phoenix Exploit’s Kit. Otra alternativa para el control de botnets

Se trata de otra de las alternativas existentes en el mercado clandestino de crimeware. En este caso, otra aplicación web desarrolla en php y originaria de Europa del Este. Phoenix Exploit’s Kit.

Este paquete se compone de nueve (9) exploits:

• IE6 MDAC
• MS Office Snapshot
• PDF Collab / printf / getIcon en Adobe Reader
• IE7 MEMCOR en Internet Explorer 7, Windows XP y Windows Vista
• FF Embed
• Flash 9 en plugin vulnerable de Shockwave Flash
• IE6/IE7 DSHOW
• JAVA en JRE
• Flash 10 en las versiones 10.0.12.36 y 10.0.22.87 de Flash Player

En cuanto al procesamiento de información, Phoenix permite, como es habitual en la mayoría de este tipo de programas, obtener datos estadísticos sobre los tipos de navegadores (MSIE, Firefox, Opera, entre otros), versiones de los navegadores, tipo de sistemas operativos infectados, paises de origen y algunos datos mas que en su conjunto se transforman en un proceso de Inteligencia habitual llevado a cabo por los botmasters.

Si bien Phoenix Exploit’s Kit no es un desarrollo reciente, su primera versión surgió en el auge de este tipo de crimeware (2007), actualmente se encuentra en el “negocio” clandestino a un precio competido que ronda los USD 400 al ser adquirido con un dominio.

Phoenix se suma a la colección y a la oferta de un mundo delictivo que día a día mueve el engranaje underground de los negocios oscuros y clandestinos del mercado ruso de crimeware.

Información relacionada
iNF`[LOADER]. Control de botnets, marihuana y (...) malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware...
Los precios del crimeware ruso. Parte 2
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Jorge Mieres

Ver más

Green IT utilizado para la propagación de scareware II

Anteriormente habíamos visto la utilización como estrategia de engaño y “recurso de atracción”, ciertos aspectos relativos a la llamada computación verde (Green IT), empleando fundamentos de venta fuertes para relacionar la problemática que plantea Green IT con los códigos maliciosos desde una perspectiva un tanto analítica.

Sin embargo, existen aspectos técnicos que podemos relacionar y cuyos datos procesar de forma sencilla para entender, con mayor nivel de profundidad, el modo de operación de los ciberdelincuentes que se encuentran detrás de estas amenazas y el uso, o abuso, de diferentes técnicas.

Continuando con el ejemplo del anterior post que habla sobre el scareware Green IT, por el momento se desprende que los dominios utilizados para propagar la amenaza se encuentran alojados bajo la dirección IP 174.142.96.2. Estos dominios son:

• avsolutiondwn .info
• green-av-pre .com
• green-av-pro .com
• my-green-av-pro .com
• my-green-av .com
• ntrytodownload .info
• progresivescan .info
• zp4.green-av .com

El hosting se encuentra ubicado en Canada . Precisamente en Montreal, en la compañía Iweb Technologies Inc que ofrece servicios de alojamiento web a bajo costo.

Cabe destacar que en esta compañía se han alojado códigos maliciosos tipo scareware como iMunizator, MacSweeper (ambos diseñados para explotar MacOS), Antivirus Best, Total Security, AV Protect y Virus Doctor, entre tantos otros.

En cuanto al Número de Sistema Autónomo (Autonomous Systems Number - ASN) se trata del 32613 (AS32613)

Incluso, según el servicio FastFlux Tracker de dnsbl.abuse.ch, este ASN se encuentra asociado a actividades relacionadas con botnets que hacen uso de técnicas Fast-Flux.

En base a este poco volumen de información, se puede deducir fácilmente que cuando de hacer dinero a través de mecanismos fraudulentos se refiere, entran en juego diferentes actores y técnicas que interactúan entre sí para obtener un mayor rédito económico, intentar que la amenaza propagada llegue a la mayor cantidad de usuarios posible y, al mismo tiempo, el rastreo del origen de la diseminación se transforme en una tarea engorrosa.

Información relacionada
Una recorrida por los últimos scareware X
Atacando sistemas Mac a través de falsa herramienta de seguridad
Entendiendo las redes Fast-Flux

# Jorge Mieres

Ver más

Green IT utilizado para la propagación de scareware

Hace un tiempo escuchaba una charla muy interesante en un evento de tecnología muy importante en Centro América, en donde se mostraban ciertos aspectos tecnológicos que, de utilizarlos con un mayor nivel de eficiencia, ayudan a disminuir el impacto que estos provocan sobre el sistema ambiental. Esto se conoce bajo la nomenclatura de Green IT, cuya traducción al español es Tecnologías verdes o computación verde.

Se trata básicamente de un concepto que busca definir un nivel de eficacia y eficiencia energética adecuada buscando un equilibrio que permita minimizar el impacto negativo que hasta el momento provocan los recursos tecnológicos sobre el medio ambiente.

La cuestión es que ciertos scareware (rogue) se han hecho eco de este concepto para lograr la atención de quienes nos encontramos interesados en la problemática generada por los recursos tecnológicos sobre el medio ambiental, utilizando, como es habitual en este tipo de malware, las clásicas maniobras de engaño que las caracterizan y que buscan una "inversión" por parte de los usuarios desprevenidos.

Se trata de la propagación de los scareware conocidos como Green Antivirus y Ecology Green PC.

En el caso de Green AV, y en razón del concepto que representa la computación verde, una de las estrategias de engaño que utiliza se basa en la promesa de "donar" USD 2 por cada venta para colaborar en la "salvación" de los árboles de la selva Amazónica, la selva tropical más grande del planeta.

Pero también los propagadores de esta amenaza, poseen un fuerte argumento que relaciona la protección del medio ambiente con el daño provocado por códigos maliciosos.

Bajo la frase "We thought that our application can guard not only your PC, but whole Earth - our home planet.", algo así como que el producto ofrecido (GreenAV) no solo protege el equipo de malware sino también ayuda a proteger el planeta; la estrategia maliciosa canaliza su argumento en que las consecuencias provocadas por diferentes códigos maliciosos (sobrecarga en el consumo de recursos) repercute en un mayor consumo energético por parte de la PC, aumentando los residuos no reciclables y desprendiendo así desechos tóxicos que perjudican el medio ambiental.

Apoyando también este argumento en noticias reales como http://www.ecogeek.org/content/view/788/74/ y http://news.cnet.com/8301-11128_3-10007998-54.html.

Más allá de lo verdadero del argumento, se trata de una estrategia que fundamenta de forma coherente la relación entre el malware y el medio ambiente para atraer más usuario e incitarlos a la compra de esa "buena solución de seguridad".

En la zona de pre-venta del sitio web, la estrategia fraudulenta se apoya aún más sobre la supuesta contribución que hasta el momento se ha concretado, mostrando el valor donado. En nuestro ejemplo la suma es de USD 23.965, 5005 sobre un valor real del malware "solución de seguridad antivirus ecológica" de casi USD 100, cuando un programa antivirus legítimo y con reputación posee un valor que ronda los USD 50.

Otro aspecto llamativo es el medio de pago que se emplea. Hace unos años, se utilizaba el mismo método pero con páginas clonadas de los servicios que permiten realizar pagos en línea, donde una de las recomendaciones más fuertes era verificar que la información depositada viaje segura (https).

Ahora, esto se realiza directamente empleando recursos válidos y legítimos, donde la información fluye de forma cifrada (lo podemos observar en la siguiente imagen). En este caso, utilizando el servicio que ofrece la compañía estadounidense Plimus, a través de un formulario que automáticamente realiza la conversión de la moneda en función del país desde el cual se acceda a la página.

Estas cuestiones a nivel estratégico planteadas para la propagación, en este caso, de scareware marca el nivel de profesionalismo y esfuerzo que depositan constantemente los desarrolladores maliciosos y demás personajes de este ambiente clandestino, como los spammers y botmasters, que se valen de maniobras similares de propagación a través, incluso, de botnets.

Es evidente también que cualquier noticia/novedad/tecnología olo que sea, es empleada de forma maliciosa enmascarada como benigna tras estrategias de Ingeniería Social.

Información relacionada
Una recorrida por los últimos scareware XIV
Supuesto Códec para crear videos HD utilizado como carnada para scam
Scareware. Repositorio de malware In-the-Wild
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot
Continúa la importante y masiva campaña scareware
Campaña de infección scareware a través de falso explorador de Windows
Nueva estrategia de IS para diseminar scareware

# Jorge Mieres

Ver más

Una recorrida por los últimos scareware XIV

El scareware sigue su carrera de infección a través del reclutamiento de infinidad de dominios a disposición de los diseminadores, métodos de propagación cada vez más agresivos y mecanismos de engaño cada vez más profesionalizados y personalizados.

Lo que se presenta a continuación es una muestra más tomada de los últimos scareware, o rogue, que se encuentran circulando In-the-Wild por Internet buscando víctimas desprevenidas, y que representa solamente una pequeñísima porción del volumen diario.

Como siempre, lo recomendable es bloquear las direcciones IP que propagan estas amenazas.

Windows System Suite
IP: 64.213.140.69, 206.53.61.70, 206.53.61.74, 206.53.61.75, 206.53.61.72
United States Global Crossing
Canada Brampton Rcp.net
Dominios asociados
fastantivirpro.com
malwarecatcher.net
mykeepplace.net
mysystemshield.net
pay2.malwarecatcher.net
pay2.malwaresdestructor.com
prestotuneup.com
shieldsystem.net
trustshields.cn
update2.virusshieldpro.com
update2.windowspcsuite.com
update2.windowsprotectionsuite.com
update2.windowssystemsuite.com
update2.winprotection-suite.com
websystemsec.info
windowsprotectionsuite.com
windowssystemsuite.com
download.fastantivirus09.com
fastantivirus09.com
files.fastantivirus09.com
pay2.fastantivirus09.com
pay2.virusshieldpro.com
promo.fastantivirus09.com
softdialog.com
update2.fastantivirpro.com
update2.fastantivirus09.com
update2.malwarecatcher.net
winprotection-suite.com
pay1.virusshieldpro.com
paymentvirusmelt.cn
update1.malwarecatcher.net
update1.windowspcsuite.com
update1.windowssecuritysuite.com
windowssecuritysuite-pro.com
www.gurusecurity.com

Registry Doktor 2009
MD5: 928a479a2896a150263fec2d4b41fa2f
IP: 97.74.143.59, 209.216.193.124
United States Scottsdale Godaddy.com Inc
United States San Diego Deploylinux Consulting Inc



Result: 8/41 (19.51%)

nameguards.cn/1/update.php?id=5 (91.212.198.152) - Individual Retailer Nevedomskiy A A

Con relación a este dominio, existe una clara fusión entre la propagación de diferentes códigos maliciosos, comúnmente a través de exploits que intentan aprovechar vulnerabilidades utilizando archivos PDF y SWF, donde el engranaje que mueve todo el mecanismo son las botnets. En este caso particular, se trata de una botnet controlada vía web a través de la aplicación rusa escrita en PHP llamada Liberty Exploit System. Su panel C&C se encuentra en http://nameguards.cn/1/admin.php

Green AV
IP: 174.142.96.2
Canada Montreal Iweb Technologies Inc
Dominios asociados
avsolutiondwn.info
green-av-pro.com
mail.green-av-pro.com, mail.greencustomersupport.com, mail.my-green-av-pro.com, my-green-av-pro.com, my-green-av.com, ntrytodownload.info, p4678z.my-green-av.com, progresivescan.info, zp4.green-av.com

lowexe.com/av-scanner.48040.exe (213.239.211.251) - Hetzner-rz-nbg-net
clean-all-spyware.com (88.198.105.149) - Dmitry Lysenko
getyoursecuritynowv2.com (88.198.120.177) - Hetzner
rude-xxx-tube.com/cgi-bin/update.pl?adv=1014&p=9 (92.241.177.207), downloadavr3.com/cgi-bin/download.pl?code=0001014 - Netplace
radioheadicon.cn, antivirusonlinescan03.com, antivirusonlinescan03.com/download/Scanner-7939d6_2006-71.exe (94.102.48.29) - As29073 Ecatel Ltd
trafforgood.com/go.php?sid=1 (209.250.241.212) - Secaucus Rackvibe Llc
counterweb.cn/kl/index.php?out=1251137800 (112.137.162.150) - Kuala Lumpur Tm Net Sdn Bhd
clean-all-spyware07.com/download/Antivirus_156.exe, best-virus-scanner6.com/download/Antivirus_156.exe (193.169.12.70) - Financial Company Titan Ltd
winfirewallupdatesv2.com/Driver.exe (89.47.237.52) - Baia Mare Sc Globe Hosting Srl
prikulamud.com/download/0540f0d2bb566d0ed0d80150e2b728ef/3656b9eddb95cfb9d7f013ed46b015a2/14 (83.233.30.64) - Serverconnect I Norrland

Ecology Green PC
IP: 84.16.249.95
Germany Berlin Netdirekt E.k
Dominios asociados
internetserviceteam.com
basebilling.com
cnsbill.com
continental-systems.com
ecologygreenpc.com
lifeecocenter.com
secure.basebilling.com

Total Security
MD5: 6135d8ce3381aee310797cf0e1683779
IP: 213.163.91.240
Netherlands Rotterdam Datatran Systems Ip Space

Result: 0/41 (0.00%)




Información relacionada
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# Jorge Mieres

Ver más

La peligrosidad de una nueva generación de bootkits

Si bien tanto los rootkits como los bootkit forman parte de un mismo concepto y los objetivos finales terminan siendo siempre los mismos, existe una serie de patrones que los diferencian y hacen del bootkit la inevitable evolución del rootkit convencional sumando al estado del arte acciones más complejas.

Por definición, un rootkit esta diseñado para esconder ciertas actividades que un atacante puede realizar en un sistema vulnerado, siendo precisamente esta característica la aprovechada por los desarrolladores de malware para ocultar las actividades del mismo (manipulación de claves del registro, procesos, archivos, etc.) al momento de infectar un sistema. Es decir, el objetivo principal de un rootkit es evitar que las actividades de un atacante sean descubiertas.

Esta situación representa un grave y potencial peligro para la seguridad de cualquier sistema informático ya que, dependiendo del tipo de rootkit, pueden pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).

Por eso las compañías antivirus suelen catalogarlo como peligrosos o extremadamente peligrosos, incluso, quizás sea esta una de las respuestas sobre los esfuerzos de securizar el núcleo de los sistemas operativos.

En relación a esto, a principios de año (2009) fuimos testigos de la aparición de un tipo de rootkit que infecta la MBR (Master Boot Record) de los equipos pero que a diferencia de los rootkits convencionales de este estilo, esta nueva variante es mucho más nocivo y agresivo. Su nombre es Stoned Bootkit (basado en el famoso virus Stoned), fue desarrollado por Peter Kleissner y presentado en BlackHat 2009.

Al activarse desde la MBR, el bootkit se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que el bootkit no realiza modificaciones directas sobre este.

A pesar de ser considerada una herramienta que permite administrar un sistema (al igual que el rootkit) tal cual su nombre lo indica (conjunto de herramientas del sector de arranque) puede, sin lugar a dudas, ser utilizada con fines maliciosos, y teniendo en cuenta que Stoned Bootkit esta diseñado para funcionar también en Windows 7, independientemente de su arquitectura (32-bits o 64-bits), puede representar el código malicioso más explotado durante el 2010.

Información relacionada
Bootkit multiplataforma al ataque...

# Jorge Mieres

Ver más