Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 15 de mayo de 2009

Una recorrida por los últimos scareware VII

Nuevos programas maliciosos del tipo scareware han surgido durante este mes, bajo la cobertura de supuestas soluciones de seguridad y bajo nuevos dominios maliciosos.

Personal Antivirus
MD5: f5efa77ddc74c5a143d71dc3c3316ca9
IP: 78.47.91.153
Germany Germany Berlin Siarhei Shandrokha
Plataforma: Windows
Dominios Asociados
1bestprotectionscanner .com advancedproantivirusscanner .com adware-removal-tool .com alaskatoursonline .cn; antimalwarescannerv2 .com; antimalwaresecurityscan .com; antiviruspowerfulscanv2 .com; antivirusquickscanv2 .com; arangeyourdreams .cn; bestgossips .cn; bestworldmusic .cn; controlledsurfaces .cn; fastantimalwareproscanner .com; fastantimalwarescan .com; fordgreatcars .cn; hairstylezone .cn; latenighttalks .cn; pcsoftwarepayments .com; pleasentsurfing .cn; prideandglorynow .cn; protectionauditview .cn; quicklylivelinks .cn; saturationpower .cn; securityhelpcenter .com; tabletpccomputing .cn; teafuntrip .cn; thankyou4check .com; whreismyplugnplay .cn; worldcommercialbusiness .cn

VT Report: 34/40 (85%)

Registry Smart
MD5: 4622bb46f85be14dc7a5acf0c1464ee1
IP: 75.125.200.226
United States United States Dallas Theplanet.com Internet Services Inc
Plataforma: Windows
Dominios Asociados
registrysmart .com
adwarealert .com
audiowizardproeartrainer .com
database.registrysmart .com
evidenceeraser .com
getyourbandsigned .com
registrysmart .com
restore-pc .com
www.adwarealert .com
www.evidenceeraser .com
www.registrysmart .com
www.restore-pc .com
regofamily .net

VT Report: 5/40 (12.5%)


PC Codec Pack
IP: 194.165.4.77
Ukraine Ukraine Plitochnik Lux Ltd
Plataforma: Windows
Dominios Asociados
pc-codec-pack .com
adobesoft.co .cc
codecs.tubeloyaln .com
codecvistaz .com; codecxpvista .com; litetubevideoz .com; litetubevideoz .net; loyal-porno .com; loyaldown99 .com; loyalvideoz .com; molodiepilotki .com; pcvistaxpcodec .com; suckitnow1 .com; truepornmovies .com; truepornupload .com; truepornvideo .com; tubeloyaln .com; tubeontvgl .com; uplcodecset3 .com; uploadmoviez .com; videosz.tubeloyaln .com; wedare.tubeloyaln .com; win-pc-defender .com; wincodecupdate .com; winpcdown10 .com; winpcdown99 .com; www.codecvistaz .com; www.litetubevideoz .net: www.loyal-porno .com: www.loyaldown99 .com: www.loyalvideoz .com; www.pcvistaxpcodec .com; www.winpcdown99 .com; hypersecurityshield .com

Antivirus 360
IP: 88.214.204.40
United Kingdom United Kingdom Real International Business Corp
Plataforma: Windows
Dominios asociados:
antivirus-remote .com; awmgraphics .com; capital-hotels .net; dj77 .ru; dynaprintinc .com; flaxxvid .com; fullsitehost .info; helianaltd .com; ho1m .ru; maxstart .net; mivodesign .com; pixustudio .com; platinka .com; pochtarnt .ru; pornoearth .ru; pornogroupp .ru; rbc-mail .ru; revagefurniture .com; salonsti .com; siki .ru; sweetgey .ru; teen-sex-free .com; uktranslation .net; vashuspeh .com; wap4ik .com; weabl .com; www.add-your-video .net; www.dj77 .ru; www.entechpartners .com; www.ho1m .ru; www.lowerlights .net; www.mivodesign .com; www.pixustudio .com; www.pochtarnt .ru; www.pornoearth .ru; www.pornotrans .ru; www.rbc-mail .ru; www.revagefurniture .com; www.salonsti .com; www.smashmp3 .com; www.thebestceleb .com; www.uktranslation .net; www.xxxfreedirect .com; www.xxxshemaletour .com; xxxshemaletour .com


errorsweeper .com (75.125.61.162) - United States Theplanet.com
rusuchki .com/go/freevideo2 (95.211.7.140) - Netherlands Leaseweb
hitpresent .com/go.php?sid=3 (195.95.151.138) - Ukraine Kiev Eastnet-ua-net
xvirusdescan .com (209.44.126.241) - Canada Laval Netelligent
antivirusquickscanv1 .com (69.4.230.204) - United States Theplanet.com
antivirusquickscanv1 .com (78.47.91.153) - Germany Siarhei Shandrokha
antivirusquickscanv1 .com (83.133.123.140) - Germany Lncde-greatnet-newmedia
antivirusquickscanv1 .com (94.102.48.28) - Netherlands Root Esolutions
antivirusquickscanv1 .com (212.117.165.126) - Luxembourg Root Esolutions
antivirusquickscanv1 .com (38.99.170.210) - United States Theplanet.com
sexerotika2009.ru/admin/red/en .php (74.54.176.50) - United States Theplanet.com
softsupportmail.com (216.245.195.84) - United States Theplanet.com
guardav .com (72.232.187.198) - United States Layered Technologies Inc
fixupdates .com (174.36.234.248) - United States Softlayer Technologies Inc
online-av-scan2008 .net (74.50.117.89) - United States Noc4hosts Inc
av-antivir-check .com (74.50.117.76) - United States Noc4hosts Inc
best-av-scanner .com (74.50.117.74) - United States Noc4hosts Inc
goodsite.in/good/in .cgi?7 (212.98.162.59) - Belarus Belarus Minsk Bisiness Network Jv
fullvirusprotection .com (75.126.137.166) - United States Softlayer Technologies Inc
freewebmypcscan .com (95.129.144.236) - United Kingdom Ventrex Llp Customers
winbestsoftdownload .com (217.112.94.230) - United Kingdom Poundhost Customer Server
atom4scan .info; fan4scan .info; lux4scan .info; mini4scan .info; scan4atom .info; scan4fan .info; scan4mini .info; scan4mix .info; scan4ray .info; scan4star .info; fanscan4 .com; rayscan4 .com; scan6list .com (209.44.126.102) - Canada Laval Netelligent Hosting Services Inc
fuse6scan .com; way6scan .com; fusescan6 .com; listscan6 .info (78.159.115.216) - Germany Netdirekt E.k
open6scan .com; scan6fuse .com; scan6open .com (38.105.19.27) - United States Psinet Inc

AdwareHelp 2009
MD5: 07EB9CC49C8CB08C435914723134A236
IP: 74.54.241.100
United States United States Dallas Theplanet.com
Plataforma: Windows
Dominios Asociados
adware-help .com
allworldstars .net, freemediashare .net, funtarget .com, germek .net, gorasoft .net, iframr .com


Información relacionada
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

miércoles, 13 de mayo de 2009

PHP Shell Attack I - SimShell

Cuando un atacante logra violar los esquemas de protección implementados en un entorno de información, casi con seguridad, lo primero que intentará hacer es implantar "algo" que le permita acceder de manera remota a ese sistema de información, las veces que quiera y desde donde se encuentre.

Básicamente estamos hablando de un backdoor. Una shell en PHP es una aplicación que implantada en, p.e., un servidor vulnerado, cumple la función de acceso "alternativo" al sistema. Existe una cantidad importante de este tipo de aplicativos (r57shell, c99shell, NShell, s72shell, etc.) que muchas veces son empleados para realizar defacing, como el que sucedió recientemente con Google de Marruecos. Pero también para implantar malware.

Una de las tantas es SimShell desarrollada por el grupo llamado Simorgh Security de origen Iraní.

Autores también de otra aplicación similar llamada SimAttacker.

Si bien a simple vista parece muy sencilla, de hecho lo es, también es muy peligrosa porque supone la posibilidad de que el atacante pueda ejecutar comandos en el equipo comprometido, por lo generar servidores que son atacados, por ejemplo, a través ataques de Inclusión Remota de Archivos (Remote File Inclusion).

Actualmente esta aplicación posee un muy bajo índice de detección por parte de las firmas antivirus y, contrariamente, un alto porcentaje de utilización por parte de ciberdelincuentes, sumándose a la lista de crimeware como uno de los hermanos más pequeños de los Kits automatizados de administración vía web.

Información relacionada
Scripting attack. Explotación múltiple de vulnerabilidades

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

domingo, 10 de mayo de 2009

Campaña de Ingeniería Social visual orientada a plataformas MacOS

Hace varios años atrás, muchos profesionales de seguridad recomendaban el empleo de firefox como navegador y no IE debido a su alto índice de vulnerabilidades; esto, en los tiempos actuales ha cambiado radicalmente y se habla de firefox como uno de los navegadores web más atacados y con más vulnerabilidades.

En este sentido, en muchas charlas me preguntan por qué Windows es tan atacado; y la respuesta es mucho más sencilla de lo que se supone.

Teniendo en cuenta que el malware actual representa una de las mayores preocupaciones para un ambiente de información y que su objetivo se traduce constantemente en robar dinero a través de diferentes formas delictivas, no es difícil pensar por qué las plataformas Microsoft son las más atacadas: simplemente responde a un tema de masividad en cuanto a su uso.

Sin embargo, el mismo efecto se está produciendo en plataformas GNU/Linux y MacOS porque cada vez son más los usuarios adeptos y sin importar su nivel de conocimiento informático, lo que refleja un claro aumento de códigos maliciosos diseñados para estas plataformas.

Es así que una campaña de Ingeniería Social visual se ha liberado recientemente orientada a la propagación de malware donde los usuarios de sistemas operativos MacOS son los blancos.

La estrategia responde a lo habitual de la misma, mostrando una ventana emergente advirtiendo de la necesidad de descargar un componente (que es falso) para visualizar el video.

Algunas de las direcciones involucradas en la campaña son:

bestpornhub2009.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg
deposituploads.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg
filmunlock.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg
flash-license.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg
player-codec.biz/download/666c507271673d3d83b13d19/License.v.3.413.dmg
playerxtra.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg
plumpals.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg
quotre.net/download/666c507271673d3d83b13d19/License.v.3.413.dmg
rexato.net/download/666c507271673d3d83b13d19/License.v.3.413.dmg
swinget.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg
kindtoy.com/download/6b72504756673d3d397ccafd/MacTubePlayer.dmg
movlock.com/download/666c507271673d3d83b13d19/License.v.3.413.dmg
part-owner.net/download/6b72504756673d3d397ccafd/macvideo.dmg
shotdro.com/download/3776694945673d3d03635c6c/play-video.dmg
tourdo.net/download/654a635066413d3df111c253/HDTVPlayerv3.5.dmg
mac-videos.com/play/mac-video.php
mac-videos.com/start.html
91.212.65.20/cgi-bin/generator.pl

Como vemos, la clásica estrategia de Ingeniería Social visual está orientada a otras plataformas, y los ciberdelincuentes están ampliando su cobertura de ataque hacia otros sistemas operativos, pero siempre... con los mismos objetivos: propagar malware.

Información relacionada
Atacando sistemas Mac a través de falsa herramienta de seguridad
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección I
Ingeniería Social visual para la propagación de malware
Técnicas de engaño que no pasan de moda

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

sábado, 9 de mayo de 2009

Estrategia BlackHat SEO propuesta por Waledac

Waledac es el nombre del troyano encargado de reclutar zombis PC's para formar parte de su botnet, cuya función principal es la propagación de uno de los más comunes spam que a diario recibimos: Canadian Pharmacy.

Muchos profesionales de seguridad afirman que es la evolución de otra famosa botnet llamada Storm, o Nuwar dependiendo de la compañía antivirus.

Al igual que Storm, una de las características más interesantes de Waledac, además de la utilización de técnicas avanzadas como Fast-Flux, son las estrategias de Ingeniería Social, que en su caso, comenzaron con una campaña propagandista en relación al día de los enamorados, y que renueva cada cierto tiempo, siendo su última maniobra un supuesto programa para enviar mensajes SMS.

Sin embargo, Waledac también hace uso de técnicas de posicionamiento web poco éticas empleadas de manera estratégica para atraer llegadas hacia los diferentes dominios, que hoy redirigen hacia la fraudulenta farmacia en línea, que emplea para propagar el troyano; llamada BlackHat SEO.

Algunos de los dominios empleados por esta amenaza son:

yourvalentineday .com
virtualesms .com
usabreakingnews .com
urbanfear .com
terrorismfree .com
terrorfear .com
terroralertstatus .com
smspianeta .com
smsdiretto .com
smsclubnet .com
photoblogsite .com
orldlovelife .com
nuovosms .com
mobilephotoblog .com
miosmsclub .com
globalantiterror .com
freeservesms .com
freecolorsms .com
fearalert .com
easyworldnews .com

Cada uno de los dominios fueron creados pensando como todo un estratega, utilizando palabras comunes para formar la composición de la URL. Entre ellas:

valentine - your - day - virtual - sms - break - king - news - urban - terror - fear - mobile - china - blog - life - best - anti - poems - ship - love - central - online - great - coupon - club - ltd - free - adore - poem - lyric - world - sales - super - portal - code - site - eye - blue - dot - funny - smart - group - fun - songs - wireless - city - wap - link - good - review - who - cher - help - radio - report - the - lovers - long - fm - michigan - chat - loving - romantics - track - cherish - space - my - digital - country - discount - tax - tnt - letter - against - mazda - car - speed - zone - dealer - cars - buy - tribute - auto - motive - parts - death - taxi - work - care - direct - pet - cab - bead - net - ming - water - data - lose - can - pool - all - pond - wager - team - doc - now - fast - bank - expo - wale - job - barack - obama - guide - greeting - december - christmas - lights - year - regards - white - mira - bella - project - company - top - father - its - media - just - gift - garb - live - cheap - service - home - black

Esto responde a la campaña de BlackHat SEO que Waledac utiliza para atraer potenciales víctimas, y que cada vez más códigos maliciosos emplean para lograr un posicionamiento web que les garantice de manera temprana, el acceso a los sitios maliciosamente creados para diseminar malware.

Información relacionada
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

miércoles, 6 de mayo de 2009

Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II

Como dijo alguna vez Kevin Mitnik "La gente no está preparada para el engaño a través de la tecnología". Quizás, esta afirmación de la cual calculo coincidimos muchos de quienes nos dedicamos al ámbito de la seguridad, sea parte de la respuesta al ¿por qué de la efectividad de esta nada compleja técnica?

Básicamente, se trata nuevamente de Ingeniería Social del tipo visual aprovechando imágenes pornográficas para propagar malware.

El modo de operación, como siempre, se presenta la imagen del supuesto video, pero al hacer clic para visualizarlo aparece una ventana de alerta indicando la falta de un códec, ejecutándose así el intento de propagación del malware.
En este caso, la estrategia forma parte de la campaña de diseminación de un conocido scareware llamado WinPC Antivirus cuya tasa de detección es del 80%.

Esto indica lo "universal" de la técnica ya que sin responder a un tipo determinado de malware, constituye un método y vector sumamente explotado para engañar a los internautas y propagar la amenaza a través de una temática ampliamente demandad en Internet, como lo es la pornografía.

Información relacionada
IS visual y el empleo de pornografía como vector de propagación e infección
Ingeniería Social visual para la propagación de malware
Propagación masiva de malware en falsos códecs
Técnicas de engaño que no pasan de moda

# pistus

Ver más

Publicado por Jorge Mieres 0 comentarios

Suscribirse a: Entradas (Atom)