Falsas páginas utilizadas como vector de propagación de malware
Las estrategias de engaño a través de Ingeniería Social se encuentran a la orden del día en Internet y representan el comienzo de potenciales riesgos de seguridad; siendo, la clonación o la presentación de falsas páginas web, uno de los vectores más explotados para romper la seguridad del factor humano.
Algunas son más complejas que otras, y algunas más llamativas o mejor elaboradas que otras; sin embargo, por más trivial que sea el engaño, su efectividad irá en relación directa con el nivel de educación que, en materia de seguridad, tenga quien accede a la trampa del delincuente informático.
En definitiva, la siguiente captura es un ejemplo con el que recientemente me he encontrado. Se trata de una falsa página que descarga un archivo binario llamado surprise.exe (MD5: 9bd6a9cba442a88839a185eb47c2008c) que es una variante del código maliciosos Virtumonde, también llamado Monde o Vundo.
Algunas son más complejas que otras, y algunas más llamativas o mejor elaboradas que otras; sin embargo, por más trivial que sea el engaño, su efectividad irá en relación directa con el nivel de educación que, en materia de seguridad, tenga quien accede a la trampa del delincuente informático.
En definitiva, la siguiente captura es un ejemplo con el que recientemente me he encontrado. Se trata de una falsa página que descarga un archivo binario llamado surprise.exe (MD5: 9bd6a9cba442a88839a185eb47c2008c) que es una variante del código maliciosos Virtumonde, también llamado Monde o Vundo.
Para que se visualice un componente de cotejo, la próxima es una captura de la página real de sendspace.
Una estrategia muy empleada a través de estas técnicas, es el uso de nombres de dominios similares al real; es decir, la página falsa es http://sendspace-us .com mientras que la real es http://sendspace.com. Esto constituye, en este caso, el principio de una potencial infección.
Otro dato más que interesante es que, el dominio que representa la falsa página se encuentra en la dirección IP 196.2.198.241, cuyo sistema autónomo es AS33777 de EgyptNetwork.
Otro dato más que interesante es que, el dominio que representa la falsa página se encuentra en la dirección IP 196.2.198.241, cuyo sistema autónomo es AS33777 de EgyptNetwork.
A su vez, esta dirección IP representa varios dominios más.
cd-soft.net
darthvader777.com
egns.vg
good1soft.com
greatlovingcore.net
kassperskylabs.cn
kentty.net
searchingforthevhostipadres.com
sendspace-us.com
sendspace.com.bz
throbilskirnir.com
thronofodin.com
ustechservic.com.cn
www.cd-soft.net
www.charming-woman.com
www.darthvader777.com
www.dx-software.com
www.egns.vg
www.good1soft.com
www.greatlovingcore.net
www.icm-com-services.com
www.sendspace.com.bz
www.throbilskirnir.com
www.thronofodin.com
www.ustechservic.com.cn
Como podemos apreciar, incluso uno de los dominios de la lista es kassperskylabs .cn, muy similar al de la conocida empresa de seguridad antivirus.
Información relacionada
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web
# pistus
darthvader777.com
egns.vg
good1soft.com
greatlovingcore.net
kassperskylabs.cn
kentty.net
searchingforthevhostipadres.com
sendspace-us.com
sendspace.com.bz
throbilskirnir.com
thronofodin.com
ustechservic.com.cn
www.cd-soft.net
www.charming-woman.com
www.darthvader777.com
www.dx-software.com
www.egns.vg
www.good1soft.com
www.greatlovingcore.net
www.icm-com-services.com
www.sendspace.com.bz
www.throbilskirnir.com
www.thronofodin.com
www.ustechservic.com.cn
Como podemos apreciar, incluso uno de los dominios de la lista es kassperskylabs .cn, muy similar al de la conocida empresa de seguridad antivirus.
Información relacionada
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web
# pistus