ESET Latinoamérica – Laboratorio
« Video (falso) del ataque al Papa utilizado para propagar malware
ZeuS utiliza el nombre de ESET NOD32 para reclutar zombis »

El malware y los afiliados de negocio

Diciembre 28, 2009 10:11 am

Cuando hallamos el caso del video falso del ataque a Berlusconi y luego el del Papa y realizamos el posterior video sobre BlackHat SEO encontramos algunos datos de interés que compartimos a continuación.

Los dominios utilizados fueron registrados todos en Rusia el 12/12/2009 y alojados en un servidor con IP 193.169.13.XXX y por supuesto forman parte del mismo grupo delictivo o asociados de negocio. Algunos de los dominios involucrados son:

  • [ELIMINADO]virussofttissue.com
  • [ELIMINADO]spysoftware.net
  • [ELIMINADO]externaltools.net
  • [ELIMINADO]utilityblog.net
  • [ELIMINADO]fervirustool.com
  • [ELIMINADO]-ty-virus.net
  • [ELIMINADO]billingsystem.com
  • [ELIMINADO]saryoils.com
  • [ELIMINADO]inputconsulting.com
  • [ELIMINADO]movement.com
  • [ELIMINADO]examine.com
  • [ELIMINADO]canner2010.net

Por otro lado siempre (hasta el momento) se descarga un archivo install.exe desde distintos servidores y es modificado continuamente para intentar evitar la detección de los productos de seguridad.  En el caso de  ESET NOD32 siempre los ha detectado en forma proactiva como variantes de Win32/Kryptik.X donde la “X” son las distintas versiones del mismo archivo.

Además cada vez que analizamos uno de los dominios y archivos, los mismos hacen referencia al mismo número de afiliado (affid=34100). Es decir que existen al menos 34.100 delincuentes asociados en este caso:

Afiliados

Este número es utilizado para identificar a los asociados (distintos delincuentes afiliados que propagan el mismo malware) y luego el creador del malware paga un porcentaje por cada descarga e instalación del archivo dañino que cada socio realiza. Es decir que un afiliado cobrará más cuanto mayor sea la cantidad de usuarios engañados y mayor sea la cantidad de sistemas infectados por él.

Esto también puede verse cuando el usuario infectado intenta “registrar” el producto ya que la sitio contactado para realizar el pago a través de tarjeta de crédito también envía el mismo número de afiliado a través de una URL como http://invoice[ELIMINADO].com/buy2.php?affid=34100.

Por este motivo es que se utilizan las técnicas de BlackHat SEO, debido a que estos afiliados  necesitan llevar más usuarios a sus sitios web, para infectarlos y luego cobrar por ello.

Cristian Borghello
Director de Educación

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 3.29
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame



Categorias: Ingeniería Social, Malware
2 Comentarios »

2 Comentarios en “El malware y los afiliados de negocio”

  1. ESET Latinoamérica – Laboratorio » Blog Archive » Crimeware-as-a-Service: un modelo delictivo en aumento dijo:
    12-1-2010 a las 4:15 pm

    [...] de este modelo delictivo interactúan de forma activa diferentes socios de negocio y afiliados donde cada uno retroalimenta el circuito delictivo a través de acciones fraudulenta y utilizando [...]

  2. ESET Latinoamérica – Laboratorio » Blog Archive » Reporte de amenazas de Diciembre dijo:
    4-1-2010 a las 6:17 pm

    [...] En este sentido, las técnicas de BlackHat SEO e Ingeniería Social constituyen un aliado para los afiliados de negocio que se encargan de estas maniobras fraudulentas. Ejemplos concretos son los generados a partir de [...]

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.