Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 2 de noviembre de 2009

Campaña de phishing orientada a usuarios de MSN

Desde que comenzaron a popularizarse las páginas web que prometen proveer información sobre los contactos bloqueados en el cliente de mensajería instantánea de Microsoft, las campañas destinadas al robo de información privada de los usuarios, siguen en constante insistencia.

Lo cierto es que quienes confían en este tipo de engaños, son víctimas ni más ni nada menos que de una simple maniobra de Ingeniería Social que en muchos casos, goza de una efectividad relativamente difícil de aceptar, y destinada a realizar ataques de phishing.

Esta situación deja en completa evidencia los niveles de (in)madurez que todavía existe en materia de prevención y la necesidad de crear conciencia sobre el verdadero alcance e implicancias en seguridad de los conceptos de confidencialidad y privacidad.

En este sentido, una nueva campaña de phishing busca captar la atención de los usuarios que hacen uso del popular cliente de mensajería instantánea de Microsoft, MSN. Es decir, casi el 90% de las personas.

Detrás de una cobertura bajo el slogan "Verify who blocked you on their msn contact list", se esconde una campaña que estratégicamente y con paciencia va obteniendo nombres de usuario y sus respectivas contraseñas de todos aquellos interesados en saber quienes de sus contactos los han bloqueado… Sigo sin comprenderlo… :(

Desde el punto de vista técnico, bajo la dirección IP 121.54.174.85 (Hong Kong Hong Kong Sun Network Limited) se alojan una importante cantidad de dominios que redireccionan a la misma página fraudulenta. Estos dominios son:

ahem-they-blocked-me.com
cindrella-blocked-me.com

damnn-they-blocked-me.com
did-they-block-you.com

face-blocked-truth.com
find-reason-of-being-blocked.com

finding-who-blocks.com

friends-block-buddies.com

grab-block-status.com

grab-my-block-status.com
have-they-blocked-you.com

heroes-never-block.com

how-come-they-block-me.com

im-fedup-of-being-blocked.com

im-sad-im-blocked.com

ima-checking-block-status.com

jesus-he-blocked-us.com

kephsa.why-do-they-block.com

lame-friends-block-you.com
leme-check-block-status.com

mean-friends-block.com

mjzfx0.why-do-they-block.com

notice-they-blocked-u.com

oh-i-was-blocked.com

omg-they-blocked-me.com

phew-they-blocked-me.com

phewww-seems-i-am-blocked.com
puff-im-blocked.com

pwdgds.grab-my-block-status.com

sad-i-was-blocked.com

see-they-blocked-me.com

tchv9l.find-reason-of-being-blocked.com

they-were-haha.com

ufff-i-was-blocked.com

urr-he-blocked-us.com

weird-i-was-blocked.com

who-let-me-block.com
why-do-they-block.com

why-my-friends-block.com

wooh-im-blocked.com

Es sumamente importante tomar las medidas de precaución y prevención necesarias para no ser víctimas de este tipo de técnicas, extremadamente sencillas de llevar a cabo y extremadamente efectiva para quienes no están al tanto de ellas.

En este caso, no se trata de implementar una solución de seguridad a toda marcha sino de sentido común. De acceder la información sólo en la página web legítima y verificar la existencia de las medidas de seguridad que garantizan el cifrado de la información.

Sobre todo, para no preguntarnos luego cómo hacen para obtener gran cantidad de información sobre credenciales de autenticación de diferentes servicios de web y publicarlos en Internet sin restricción alguna :-)

Información relacionada
Nivel de (in)madurez en materia de prevención
Phishing Kit. Creador automático de sitios fraudulentos
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web
Estado de la seguridad según Microsoft
Phishing y "cuentos" en navidad
Phishing para American Express y consejos

Jorge Mieres

Ver más

ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

Indudablemente, la problemática generada por las botnets a nivel global constituye una de las tendencias que en ningún paper se debería obviar. En este sentido, el desarrollo de aplicaciones destinadas al control y administración de zombis vía web, cuyas primeras repercusiones vieron la luz a fines del 2006 alcanzando en la actualidad la popularidad en la comunidad underground y delictiva, no cesa.

Bajo una particular interfaz de autenticación, aparece ZoPAck, un crimeware cuya primera incursión fue en el 2007, desarrollado en PHP y destinado a explotar vulnerabilidades a través de una importante gama de exploits.

La actualización a esta nueva versión, la 1.02, se produjo durante este mismo año 2009. Y si bien no se ha masificado su eso y no cuenta con la popularidad de otros, es un paquete que no tiene nada que envidiar a sus competidores y cumple de igual manera con el objetivo para el cual fue diseñado: reclutar zombis aprovechando debilidades en los sistemas operativos y aplicaciones.

Por intermedio de un archivo .pdf, provoca un desbordamiento de búfer (buffer overflows) en las aplicaciones Adobe Acrobat y Reader (CVE-2007-5659 y CVE-2008-0655), reclutando la zombi a través de la descarga de su ejecutable (file.exe) llamado desde el archivo exe.php. A continuación vemos parte de su código.
include "db.php";
include "mysql.php";
$db = new db;
$ip = getenv("REMOTE_ADDR");
$db->query("UPDATE statistics SET is_dw=1 WHERE ip='".$ip."'");
$filename = "./file.exe";
$size = filesize($filename);
$fp = fopen($filename, "r");
$source = fread($fp, $size);
fclose($fp);
La estructura de ZoPAck es muy sencilla al igual que su configuración permitiendo simplemente configurar a través de la interfaz los datos de autenticación y el dominio donde se alojará el crimeware para su acceso.

El módulo encargado de llevar los datos estadísticos, lo que a mí me gusta llamar el módulo de Inteligencia, le permite al botmaster recavar información relacionada a las características de cada computadora que forma parte de su red.

Esta característica podría tener dos lecturas. Por un lado, que el crimeware se encuentra diseñado con una notoria orientación a script kiddies o prospecto a delincuentes; por el otro, quizás el objetivo del autor (¿ZOPA?) es proporcionar una aplicación lo más optimizada posible para hacer de la labor de los ciber-delincuentes lo menos rigurosa posible.

En fin, un nuevo crimeware que se une a la colección de alternativas disponible en el mercado clandestino.

Información relacionada
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, (...) y propagación de malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa (...) para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Los precios del crimeware ruso. Parte 2

Jorge Mieres

Ver más