Entrevista con Kevin, un defacer Argentino. Primera parte

Kevin es un Argentino que, aparentemente reside en Córdoba (Argentina), y es el autor, bajo el alias Kevinex, del defacer que vemos en la siguiente captura.

Hace un tiempo, tuve la oportunidad de charlar un rato con él, y de esa charla surgió lo que a continuación les transcribo:

Jorge dice: Hola Kevin
Kevinex dice: Hola!
Jorge dice: Cuál es el defacing de esta noche? :-)
Kevinex dice: jaja, un poco de Ddos xD.
Jorge dice: Qué haces además de desfigurar pages?
Kevinex dice: Postear programas. Precisamente ahora, ayudo a empresas en la seguridad de sus webs.
Jorge dice: A través del defacing?
Kevinex dice: No precisamente eso, solo veo si tiene algo vulnerable pero ya sin defacear, algunas veces, admito que si xD
Jorge dice: Claro, eso es algo que me llama mucho la atención. Qué te hace cambiar de parecer ante la decisión de vulnerar un site o no?
Kevinex dice: 2 motivos, uno puede que, me gusta el sitio y veo que tiene algo vulnerable, pongo un index creado por mi, que el sitio esta en mantenimiento. Otro que no me guste, y cuando no lo hago es porque, no da ganas de molestar a nadie. Algunas veces por tiempo, toma un poco de tiempo hacer eso. y más cuando son sitios de idiomas que no entienda jaja
Jorge dice: Algo turco por ejemplo :-) Entonces te consideras un tipo con ética?
Kevinex dice: quizás, yo me creo una personal normal. ni mejor, ni menos que otros. Una vez modifiqué la página de una estación de Radio y dicen que será que lo hice, porque no me gusta la música, luego me comunique con el webmaster para que lo parche y listo.
Jorge dice: Las motivaciones que llevan a una persona a realizar este tipo de prácticas son variadas, desde fines maliciosos hasta revelar vulnerabilidad en un site, desfigurar sites de pedofília o por cuestiones políticas ¿en que estrato crees que esta tu aficción?
Kevinex dice: yo te diría en revelar vulnerabilidades, y cuestiones políticas, te digo por qué. La primera de revelar sitios, en qué ayuda? En que otros webmaster vean la vulnerabilidad y puedan parchar ellos mismos esos fallos y asi evitar que personas con un motivo malo puedan hacer daño, sabrían que su sistema que usan en su web tiene fallos, en php nuke, vbulletin, wordpress, etc. La segunda, en cuestiones políticas, por apoyo a las personas que esten en desacuerdo, te doy un ejemplo. El gobierno de Argentina quita el sueldo a los jubilados voy y defaceo la página del gobierno pidiendo justicia! para los Jubilados. Es una manera de apoyar a ellos(jubilados).
Jorge dice: En cierta forma, el defacement nació un poco con el activismo; es decir, la esencia del defacing no la has perdido y veo que lo utilizas como medio de manifestación. Ahora, desde el punto de vista social quizás no este bien visto ¿que piensas al respecto?
Kevinex dice: Claro, una persona como yo, no podría hacer nada contra un gobierno, pero podría aunque sea, hacerles saber, que hay personas que piensan que lo que ellos hacen esta mal. Que pienso sobre desde el punto de vista social, qué.. hay mucha (gente) que no sabe sobre el deface. Podría ver como una cosa mala, o hablar mal de esa persona, en mi caso es así.
Jorge dice: Entonces, desde tu perspectiva ¿qué significado se esconde detrás del defacing?
Kevinex dice: Que se puede usar para ayudar, no solo para perjudicar el trabajo. Yo utilizo el defacing como método de ayuda hacia empresas, u personas con sus webs, no defaceándolas, avisándoles de que su web tiene fallo y si no responden a mi aviso, recurriría al deface para avisar la vulnerabilidad y poner un aviso que el sitio esta en mantenimiento.
Jorge dice: Pero sos conciente que otras personas lo utilizan con fines maliciosos ¿Qué opinión te merece eso?
Kevinex dice: Soy conciente de eso, es más, siento culpa de haber enseñado lo que yo sé a un compañero, ya que este lo usa para motivos malos, por otra parte, en esto siempre hay que estar actualizado, crear uno mismos sus formas de deface, en mi caso para hacer bien, y en conclusión, es algo malo. Y más que ganamos mala fama cuando se usa para motivos maliciosos.
Jorge dice: Eso es verdad. Es muy grato charlar contigo y al parecer, no escribes como otras personas, con k y esas cosas raras :-) Qué estudios tienes?
Kevinex dice: secundaria aún, pero te resumo que conozco bien a una Pc, su hadware, software.
Jorge dice: te suenan los nombres Fenix, Shavax y Pamela? Supongo que Pamela es tu novia.
Kevinex dice: jejeje, si, la girl de my life.
Jorge dice: y todavía seguís con pamela? Hijos supongo que todavía no, qué edad tienes?
Kevinex dice: Sí. No, y tengo 17 años

Kevinex es el creador del grupo RedHackTeam, ahora llamado Team Xeon y es webmaster del sitio www.cuakos.com.

Información relacionada
Desfiguración de sitios web III

# pistus

Ver más

Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?

La pregunta del título parecería ser la que nos realiza Waledac, que a través de amorosas imágenes y variadas estrategias de Ingeniería Social continúa su bombardeo malicioso de falsas postales para intentar infectar nuestros equipos.

Con una finísima ampliación de sus imágenes, este malware, que para muchos es la evolución de Nuwar, nos presenta nuevas imágenes:

Aunque el hecho de cambiar las imágenes no deja de ser un hecho curioso que manifiesta la manera en que sus creadores emplean la Acción Psicológica, perdón, las estrategias de engaño para manipular las decisiones de los usuarios, no es tan trivial que todavía, y a pesar del ruido que viene causando en la comunidad, el índice de detección siga siendo pobre, ya que menos del 50% de los antivirus lo detecta.

Ahora bien, las acciones que realiza Waledac van un poquito más allá de lo que hasta el momento venimos viendo, ya que combina su método de ataque a través de Drive-by-Download. Es decir, en el código html encontramos incrustado la etiqueta iframe:

http://chatloveonline .com/tds/Sah7

Este tag redirecciona, luego de varios niveles, a un sitio de juegos en línea, desde el cual se intenta engañar nuevamente a los usuarios para que se termine descargando un binario llamado AllSlots.exe (MD5: 90ee59131ea66f1b050916da56400dee) que no es ni más ni menos, que otro código malicioso.

Waledac combina de manera inteligente su batería de instrucciones maliciosas a través de diferentes métodos de engaño de los cuales, de una forma u otra, pretende infectarnos.

Si bien actualmente la tasa de detección del malware es baja, siempre es recomendable correr un scan para prevenir potenciales infecciones o, directamente, no descargar archivos desde sitios o enlaces no confiables.

Información relacionada
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín
Estrategias de engaño, spam y códigos maliciosos

# pistus

Ver más

Zeus Botnet. Masiva propagación de su troyano. Primera parte

Hablar de ataques de Phishing o kits a esta altura de la historia no es ninguna novedad, como tampoco lo es hablar de malware y sus técnicas de infección, cada vez más sofisticadas y cada vez más agresivas; sin embargo la diseminación y casos de infección y fraudes no cesa, incluso, en la actualidad es un negocio, aparentemente muy redituable para quienes están detrás.

Zeus (también conocido como Zbot o wsnpoem), precisamente entra de lleno en la categoría de lo fraudulento y dañino. Se trata de un troyano diseñado básicamente para reclutar zombies PCs y lanzar ataques de phishing, a entidades financieras, bancarias, sitios de redes sociales, robar datos de autenticación de correo electrónico, cuentas FTP, etc., combinando técnicas de scripting, exploit, entre otras.

66.113.136.225 powelldirects.com/awstats/stat1/main .exe

79.135.179.180 anytimeshopforall.com/new_dir/ldr .exe
79.135.187.112 newprogress.info/tmp/ldr .exe
81.176.123.220 light-money.cn/files/ldr .exe
81.176.123.221 conexnet.cn/nuc/exe .php
91.207.117.174 4utraffic.info/tmp/ldr .exe
118.219.232.248 moqawama.co.cc/zv/cfg .bin
208.113.161.124 ebayhelp.co.il/4ebay/5e .txt
115.126.5.50 1.google-credit.cn/q83wi/ld46 .exe
124.217.242.80 custom4all.info/syst/grepko .exe
193.138.172.5 upd-windows-microsoft.cn/zv/ldr .exe
195.2.253.137 mega-3k.com/krot22/rege .exe
195.2.253.186 firebit32.com/mako22/43r .exe
195.55.174.140 www.provis.es/imagenes/menue .exe
201.235.253.22 www.elsanto-disco.com.ar/.z/zeus .exe


211.95.79.6 horobl.cn/dll/cr .txt
213.205.40.169 www.saiprogetti.it/r .exe
216.246.91.49 d1gix.net/forum/load .exe
216.246.91.49 www.commerceonline-service.net/chat/cfg .ini
218.93.202.114 marketingsoluchion.biz/fkn/config .bin
218.93.205.242 cosmosi.ru/lsass .exe
220.196.59.18 infinitilancer.cn/forum/load .php?id=861&spl=7
220.196.59.18 nepaxek-domain.cn/stores/hello .world
220.196.59.18 nepaxek-domain.cn/stores/urko .exe
58.65.236.129 userzeus.com/zw/cfg .bin
58.65.236.129 verified09.com/ldr .exe
58.65.236.129 wcontact.cn/zsadmin/ldr .exe
58.65.237.153 arsofcaribion.com/lder/ldr .exe
67.210.124.90 academcity.com/ic/6e .txt
67.210.124.90 academcity.com/ic/6e .txt
68.180.151.74 emailsupports.com/Info .exe
68.180.151.74 emailsupports.com/z/setup .ini
68.180.151.74 mypage12.com/control/cfg .bin
72.167.232.78 powelldirects.com/awstats/usbtn/conf .sts
72.233.79.18 i-love-porno.com/z/ldr .exe
72.9.154.58 daimtraders.com/vateranery/imgpe .bin
74.86.115.14 arinina.com/cfg/ntdrv32 .exe
77.222.40.33 chixxxa.com/tru/ldr .exe
78.159.96.95 zonephp.com/us/us1 .exe
85.12.197.41 danacompany.ru/css/cs .bin
85.17.109.10 sjfdhw395t.com/newzz/cfg .bin

Resulta bastante peligroso si consideramos que, además de realizar las típicas acciones del malware, puede ser conseguido por cualquier persona que deposite una determinada cantidad de dinero en la cuenta de sus creadores.

Quizás este sea uno de los mejores fundamentos para argumentar el por qué de la gran cantidad de variantes de “zeus” que se encuentran In-the-Wild asechando nuestros sistemas buscando reclutar zombies. Lo cierto es que, aunque no hace honor a su nombre, es una de las botnet más grandes del momento.

Incluso, aunque esta última característica se vea amenaza por otras “alternativas” del mundo botnet como Waledac, el reciente Adrenalin, o la menos importante (en magnitud) Asprox (también conocida como Danmec), la verdad es que debemos ser cautelosos para no ser víctimas de estas amenazas que siempre buscan llevar a cabo con éxito su cometido: obtener nuestro dinero y recursos computacionales.

Información relacionada
Phishing Kit In-the-Wild para clonación de sitios web
Waledac más amorozo que nunca
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs
Ataque de malware vía Drive-by-Download

# pistus

Ver más

AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro

AntiSpyware 2009 es un conocido scareware (o rogue) cuyas acciones características comprenden, entre otras, la saturación de la conexión a Internet y el despliegue de molestas ventanas emergentes que aluden de manera dramática a la infección de nuestro equipo, proponiendo la compra de la versión "paga" del malware a través de Internet.

Este scareware se encuentra operando desde el año 2007, cuando era conocido bajo el nombre AntiSpyware y durante el 2008 como AntiSpyware 2008, y actualmente ha ampliado su gama de propuestas de engaño diseminando una cantidad importante de sitios web que lo alojan recurriendo, incluso, a dominios .pro (profesional).

Bajo la IP 74.54.156.235, alojada en Dynapp Inc - Georgia. EEUU, se esconden los siguientes dominios:

drivers .pro
internetexplorer .pro
javascript.pro
mediaplayer.pro
fixfileextension.com
2squared.com
adwarealert.com
adwarebot.com
antispyware.com
antispywarebot.com
erroreasy.com
errorfix.com
errorkiller.com
errorsmart.com
errorsrepair.com
errorstool.com
errorsweeper.com
evidenceeraser.com
macrovirus.com
malwareremovalbot.com
privacycontrol.com
regfixpro.com
registryfox.com
registrysmart.com
regsweep.com
smitfraudfixtool.com
spywarebot.com
spywarestop.com
updatesregistry.com
paretologic.com
nuker.com
mykeylogger.com
Activexrepair.com
Aolerrors.com
Audiodeviceerrors.com
noadware.net

La mayoría de los dominios comparten diseño cambiando sólo el nombre de la falsa herramienta de seguridad u optimización.

Por último, nos encontramos con dos datos que vale la pena destacar, uno interesante y otro, más que interesante, preocupante.

El primero de ellos es que este scareware recurre también a la potencia de compresión del programa 7zip para comprimir los binarios dañinos disminuyendo así su tamaño en casi un 70%. El tamaño original del malware descargado es 2.50MB (MD5: c148174afe2e9e36e56a6ffd7fc68cb6); sin embargo, al descomprimirlo, su peso asciende a 33.3MB (MD5: 02cd088fd922197d9d5fda9890de911c).

El segunda dato interesante pero a la vez muy preocupante, es que el índice de detección de este malware es extremadamente bajo; dato que podemos apreciar a través del reporte de VT realizado sobre el binario descargado.

Información relacionada
Una recorrida por los últimos scareware III
Nueva estrategia de IS para diseminar scareware
Atacando sistemas Mac a través de falsa herramienta de seguridad

# pistus

Ver más

Phishing Kit In-the-Wild para clonación de sitios web

Una de las estrategias más habituales para realizar ataques de Phishing se localiza en el empleo de clonaciones de sitios web; es decir, una página falsa muy similar a la real mediante la cual se busca robar información confidencial y de índole financiero de las personas a través de Internet.

Este Kit de Phishing propone precisamente eso. Se trata de un conjunto de páginas web de sitios conocidos listos para ser subidos a algún servidor fantasma y comenzar a diseminar, (spamear) mediante Ingeniería Social orientadas, como no puede ser de otra manera, a explotar las debilidades del eslabón más débil dentro de la cadena de seguridad: el factor humano.

Por el momento, y digo por el momento porque seguramente quienes distribuyen este kit irán ampliando la gama de clonaciones, las propuestas de ataques de Phishing son las siguientes:

AOL.com
AIM.com
d2jsp.org
DailyMotion.com
eBay.com
eBuddy
eGold
EverQuest Forum
FaceBook.com
FileFront.com
Gmail.com
Gmail.de
Habbo.de
Habbohotel.com
Hi5.com
Hotmail
ICQ.com
store.apple.com
Megaupload.com
MetaCafe
MMOCheats.com
Myspace.com
Nexon.net
OGame.de
Oxedion.de
dhl.de (Packstation)
PayPal.com
PhotoBucket.com
RapidShare.com
RapidShare.de

Ripway.com

Siteworld.de
Skype.com
store.steampowered.com
Strato.com
Usenext.com
VanGuard
Windows Live
Yahoo.com
YouTube.com






Como verán, muchas de las páginas son masivamente conocidas y ampliamente utilizadas.

Cada una de las carpetas que alojan la clonación contienen, además del index.html, un archivo de texto plano en donde se almacena la información registrada de la víctima y un login.php que contiene el siguiente código:

?php
header ('Location: website');
$handle = fopen("log.txt", "a");
foreach($_POST as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, "=");
fwrite($handle, $value);
fwrite($handle, "\r\n");
}
fwrite($handle, "\r\n");
fclose($handle);
exit;
?

Donde la función header ('Location: ') contiene la información del sitio y $handle = fopen("log.txt", "a") abre el archivo de texto log.txt en modo apertura y escritura.

La mayoría de estas clonaciones se encuentran activas por lo que es necesario estar atentos al acceder a sitios web cuyos servicios sean similares.

Por otro lado, claramente se refleja que el kit fue pensado para cometer fraudes, y el hecho de encontrarse disponible en Internet lo torna aún más peligroso potenciando las probabilidades de ser potenciales víctimas de estas acciones fraudulentas.

Información relacionada
Phishing y cuentos en navidad
Phishing para American Express y consejos

# pistus

Ver más