Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 28 de diciembre de 2009

Exploit Pack y su relación con el rogue

Las actividades fraudulentas poseen relación entre sí a través de "asociados" de negocio en el cual cada uno de ellos oficia a modo de célula dentro de una misma estructura orgánica, complementando así una empresa dedicada a tales actividades ilícitas.

En este sentido, el rogue (también denominado scareware), cuenta con un volumen importante de "afiliados" que se encargan de la distribución de los códigos maliciosos. De hecho, un reciente estudio del FBI señaló que las perdidas estimativas a causa del rogue ascienden a USD 150 millones.

Esto demuestra por qué todas aquellas viejas estrategias de Ingeniería Social que muchas veces dejan una sensación de trivialidad aún hoy son muy efectivas; y por qué muchos profesionales del ámbito criminal, que buscan ampliar las actividades delictivas y sus ganancias, migran sus esfuerzos en combinar las estrategias de diseminación con técnicas del tipo BlackHat SEO e incluso, con Exploits Pack como en este caso.

Un caso concreto es el Exploit Pack de reciente aparición denominado Siberia Exploit Pack que dentro de su estructura incorpora un archivo llamado file.exe. Cuando el usuario accede a uno de los dominios utilizados por el crimeware, un exploit (generalmente a través de archivos pdf) se encarga de explotar determinada vulnerabilidad, descargar un malware desde un dominio preestablecido y ejecutarlo.

Una vez que el malware infecta el sistema, realiza un Desktop Hijack mostrando la advertencia de una infección a través del mensaje "YOUR SYSTEM IS INFECTED!".

Luego de ello, el sistema comienza a desplegar ventanas emergentes (característica propia del adware) convirtiendo el sistema en el nido del rogue y punto de referencia de una botnet. Sin embargo, independientemente de la infección, esas ventanas emergentes forman parte de la campaña de engaño y de acción psicológica del malware.

Por un lado, porque el supuesto antivirus instalado lejos de solucionar los problemas, los empeora descargando más códigos maliciosos o abriendo los puertos para que accedan otras amenazas. Por otro lado, porque las advertencias de infección, además de ser agresivas, son completamente falsas, y el objetivo es "asustar" al usuario para que termine "comprando" el falso antivirus.

Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
Anti-Virus Live 2010. Chateando con el enemigo
Una recorrida por los últimos scareware XIX
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

domingo, 27 de diciembre de 2009

Testimonios sobre scareware y estrategia de credibilidad

Una de las estrategias utilizadas por los propagadores de scareware (rogue) es intentar atraer la confianza de los usuarios a través de "testimonios" supuestamente realizados por personas que ya habrían adquirido la "solución" y que por intermedio de estos manifiestan su "gran satisfacción por el mismo".

Sin embargo, sabemos muy bien que sólo es parte de un engaño que busca complementar la estrategia general de propagación/infección, y que si instalamos ese programa vamos a terminar con el sistema infectado por un scareware. En consecuencia, ¿no se preguntan quienes son los que afirman la eficacia de esta falsa herramienta antivirus?

En función de la imagen, donde debajo de cada frase aparece el supuesto nombre (incompleto) del responsable de la misma, quizás podamos deducir que se trata de las señoras y señores:

• Dave C. = Dave Conficker
• Beth P. = Beth Phoenix
• Lisa W. = Lisa Waledac
• Melissa H. = Melissa Hupigon
• Paul M. = Paul Mebroot
• Jason C. = Jason Crum
• Pat J. = Pat Justexploit
• Matt E. = Matt Eleonore
• Roger F. = Roger Fragus
• Sam P. = Sam Piosonivy
• Jamie V. = Jaime Virut
• Tracey K. = Tracey Koobface
• Brian A. = Brian Adrenaline
• Sally V. = Sally Virtumonde
• John R. = John Ransomware
• Lauren R. = Lauren Rustock

El malware siempre tomando "personalidades" como estrategia y cobertura donde sólo ellos podrían hablar maravillas de un colega fraudulento ;-P

Información relacionada
Anti-Virus Live 2010. Chateando con el enemigo
Una recorrida por los últimos scareware XIX
Campaña de desinformación para propagar malware
Campaña de propagación de Koobface a través de Blo...

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

viernes, 25 de diciembre de 2009

Siberia Exploit Pack. Otro paquete de explois In-the-Wild

Siberia Exploit Pack es un nuevo paquete destinado a explotar vulnerabilidades y reclutar zombis originario, como es fácil de deducir por su nombre y como es habitual en este rubro del negocio clandestino de crimeware, de Rusia. Fue lanzado al mercado casi de forma conjunto con RussKill, una botnet de propósito particular también de reciente aparición.

Por el momento, la venta de Siberia Exploit Pack es cerrada. Las versiones que se comparten en algunos servidores fraudulentos son privadas y su compra sólo es accesible por intermedio de "garantes"; es decir, otros delincuentes (generalmente botmaster, spammers, phishers, etc.) que recomiendan a determinada persona que desea comprar el paquete.

De esta manera se mantiene un determinado control y nivel de confianza entre los desarrolladores del Exploit Pack y sus compradores. Esto también explica por qué del ciclo cerrado en cuanto a su utilización.

La estructura de este crimeware se compone de varios archivos php y un pack de exploits predeterminados. Entre los archivos php se destacan:
  • stat.php: es el panel de acceso a la administración vía http.
  • index.php: contiene un elemento “refresh” que genera un refresco continuo redireccionando a Google.
  • exe.php: contiene las instrucciones para la descarga un binario llamado por defecto file.exe y además contiene un script que redirecciona a un exploit para MDAC contenido en el archivo mdac.php. En función del parámetro que se pase al php descarga también archivos pdf.
  • config.php: contiene los parámetros de configuración del paquete. Se encuentra en la carpeta por defecto llamada inc.
Los archivos que se diseminan a través de este pack y explotando otras vulnerabilidades son:
En este caso, ambos archivos pdf (cuyo nombres los crea de forma aleatoria) explotan las vulnerabilidades CVE-2007-5659 (Adobe Collab overflow); CVE-2008-2992 (Adobe util.printf overflow); CVE-2009-0927 (Adobe getIcon). Mientras que el archivo file.exe crea otro llamado winlogon86.exe (md5:4217e91f65c325c65f38034dc9496772 ).

La "moda" de los paquetes de exploit no termina y parecería que la categorización de "moda", ya le queda chico.

Desde que se comenzó a masificar la utilización de los Exploits Pack (mediados del 2007), son muchas las alternativas de este estilo, tanto de propósito general como de propósito particular, que se ofertan a través de un mercado clandestino mediante el cual no solo se retro-alimenta el negocio del malware con "recursos" eficaces y sencillos (en este caso Siberia Exploits Pack) que se adaptan a sus necesidades delictivas sin mayores esfuerzos, sino que el mismo desarrollo de crimeware como los exploit pack, conjuntamente con las botnets que permiten crear y administrar, constituye un eslabón importante en la cadena delictiva que difícilmente los caber-criminales dejen a un costado.

Esto, evidentemente da una idea lo suficientemente concreta como para entender que estamos frente acciones y estrategias de "negocio" sostenida por profesionales en materia de delitos informáticos.

Información relacionada
RussKill. Aplicación para realizar ataques de DoS
DDoS Botnet. Nuevo crimeware de propósito particular
JustExploit. Nuevo Exploit Kit que explota Java
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
Automatización en la creación de exploits

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

jueves, 24 de diciembre de 2009

Anti-Virus Live 2010. Chateando con el enemigo

Generalmente se tiene la falsa creencia de que los códigos maliciosos constituyen problemas triviales que cualquier técnico soluciona con solo formatear el sistema o adquirir alguno de los reconocidos antimalware que ofrece el mercado antivirus de la actualidad.

Sin embargo, por un lado, la realidad es que detrás del desarrollo de malware se esconde un negocio grandísimo en el cual día a día se suman más "asociados". Por otro lado, qué pasa cuando ese antivirus que planeamos comprar es todo lo contrario.

Este es el caso del Anti-Virus Live 2010 o lo que es lo mismo, Anti-Virus Elite 2010, un malware del tipo scareware (o rogue), que deja en completa evidencia que los procesos y mecanismos mediante los cuales se engaña a los usuarios para robarles dinero se encuentran bien aceitados y muy bien pensados.

En primera instancia, como es habitual en este tipo de amenazas, la estrategia se encuentra apoyada por una página web que es utilizada de "carnada" para atraer a las potenciales víctimas, argumentando todo tipo de justificaciones para "demostrar" cierta credibilidad en el falso antivirus, lo que complementa una típica campaña de desinformación.

Hasta el momento, nada interesante. Salvo, por la posibilidad de solicitar asistencia vía chat. Interesante. Comprobemos entonces si este condimento es legítimo… Sí, lo es.

En consecuencia, se estableció la comunicación a través de esta opción con la sorpresa de que inmediatamente obtuvimos respuesta del otro lado. A continuación se puede aprovechar la corta conversación vía chat.

Básicamente nos comentó Dennis, el negociante, que entre otras cosas el supuesto antivirus es compatible con todas las versiones de Windows, que su valor es de USD 27, que sólo soporta el idioma inglés y no existe versión para empresas y que elimina conficker sin problemas.

Analicemos brevemente estos puntos. Evidentemente, el scareware debe ser compatible con todas las versiones de Windows ya que es ese puntualmente el público al cual está orientada la amenaza. ¿Por qué? Sencillamente porque más del 80% de las personas consumen Windows como principal sistema operativo en entornos hogareños, donde la potencialidad de encontrar una víctima concreta se incrementa. De esa manera es mucho más factible "cerrar negocio".

Por esa misma razón no existe versión para GNU/Linux, incluso, ni siquiera versión orientada a empresas; ya que generalmente, las compañías cuentan con un mayor nivel de seguridad donde, probablemente, el scareware no encuentre resultados positivos.

¿Por qué inglés y no Ruso? Porque el inglés es el tercer idioma más utilizado. Su costo, USD 27, representa un valor competitivo que se encuentra acorde al costo promedio de los programas antivirus legítimos. Y con respecto a conficker, si preguntábamos por koobface, la respuesta hubiera sido la misma.

Una dato más que interesante y que ayuda a comprender en su justa medida la magnitud del negocio clandestino de malware, es el error cometido por el "afiliado" Dennis al momento de solicitarle la dirección para comprar la falsa solución. Nos ofrece la url registryfix.com/purchase y al momento de comentar que no se trata de la supuesta solución en cuestión, hace la salvedad ofreciendo la url correspondiente antivirus-elite.com/purchase.

Sin embargo, nosotros estábamos tratando de cerrar "negocio" por Anti-Virus Live 2010 y no por Anti-Virus Elite 2010, dejando en evidencia que se trata de la misma amenaza bajo nombres diferentes. Incluso, que el mismo "asociado" maneja y comercializa diferentes alternativas bajo modalidad similares. En este caso, ofreciendo también la venta fraudulenta de Registry Fix, otro scareware asociado a NoAdware y ErrorClean.

Desde un punto de vista más técnico, el dominio de esta amenaza se encuentra en la dirección IP 204.232.131.12, alojado en la ISP Rackspace, ubicada en la ciudad de Hoboken en Estados Unidos bajo el AS27357.

Según el historial de este AS, las actividades generadas por códigos maliciosos son importantes

Desde el sitio web se descarga un ejecutable llamado setup.exe (MD5: C50DC619E13345DEC2444B0DE371DFD4) que corresponde al instalador de scareware con un bajo índice de detección.

Como podemos apreciar, los delincuentes informáticos no se cansan de propagar amenazas cada vez más agresivas que acompañan el proceso de infección a través de campañas de marketing, incluso, muy similares a las utilizadas por muchas compañías antivirus.

Información relacionada
Una recorrida por los últimos scareware XIX
Green IT utilizado para la propagación de scarewar...
Scareware. Repositorio de malware In-the-Wild
Scareware. Estrategia de engaño propuesta por Personal Antivirus
Campaña de propagación del scareware MalwareRemovalBot

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

domingo, 20 de diciembre de 2009

Una recorrida por los últimos scareware XIX

Doctor Alex
MD5: 4f2bdddc4b71a428ec2e964cfed9f11a
IP: 69.89.20.48
United States United States Provo Bluehost Inc
Dominios asociados
doctor-alex.com

Result: 7/40 (17.50%)

Safety Anti-Spyware
MD5: 848aea51e9d26089982c9b820c2ea4ba
IP: 212.117.177.18
Luxembourg Luxembourg Luxembourg Root Esolutions
Dominios asociados
safetyantispywareshop.com

Result: 1/41 (2.44%)


Antivirus Doctor
MD5: f43835e6ca25095afe53480d30a6181a
IP: 174.37.110.224
location
Dominios asociados
antivirusdoctor.net

Result: 1/41 (2.44%)


antikeep.com (83.233.30.66) - Sweden Stockholm Serverconnect I Norrland
iguardpc.com (83.233.30.66) - Sweden Stockholm Serverconnect I Norrland
quickscansecurity.cn, photoscansecurity.cn/antimalware.exe (193.169.234.27) - Jamaica Jamaica Titan-net Ltd
erlsoft.in (91.212.107.38) - Cyprus Cyprus Nicosia Riccom Ltd
allinoneprotection1.com/scan3/(...)MPAFM&video... (192.41.60.10) - United States Lindon Icon Developments
top2009securityf.cn/download/ (204.12.252.101) - United States Kansas City Wholesale Internet Inc
malwarebytesy0.com (96.9.180.102) - United States Scranton Network Operations Center Inc
apart-leo.com.uvirt3.active24.cz/adv/security.php?b=1003 (81.95.96.126) - Czech Republic Prague Active24-cz-servers-net
dammekro.com/webcfg/security.php?b=1003 (195.249.40.157) - Denmark Denmark Koege Teaminternet-net
siteadware.com (85.12.25.111) - Netherlands Eindhoven Web10 Ict Services
theantyspywaretool.com/index.php?affid=92800 (78.129.166.11) - Cayman Islands Cayman Islands Cayman British Islands Offshore Network
1uktimes.cn/go.php?id=2004&key=ff0057594&d=1 (91.212.226.186) - Russian Federation Artem Netd-lux-network

Información relacionada
Una recorrida por los últimos scareware XVIII
Una recorrida por los últimos scareware XVII
Una recorrida por los últimos scareware XVI
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

Ver más

Publicado por Jorge Mieres 0 comentarios

Suscribirse a: Comentarios (Atom)