El malware y los afiliados de negocio
diciembre 28, 2009 10:11 amCuando hallamos el caso del video falso del ataque a Berlusconi y luego el del Papa y realizamos el posterior video sobre BlackHat SEO encontramos algunos datos de interés que compartimos a continuación.
Los dominios utilizados fueron registrados todos en Rusia el 12/12/2009 y alojados en un servidor con IP 193.169.13.XXX y por supuesto forman parte del mismo grupo delictivo o asociados de negocio. Algunos de los dominios involucrados son:
- [ELIMINADO]virussofttissue.com
- [ELIMINADO]spysoftware.net
- [ELIMINADO]externaltools.net
- [ELIMINADO]utilityblog.net
- [ELIMINADO]fervirustool.com
- [ELIMINADO]-ty-virus.net
- [ELIMINADO]billingsystem.com
- [ELIMINADO]saryoils.com
- [ELIMINADO]inputconsulting.com
- [ELIMINADO]movement.com
- [ELIMINADO]examine.com
- [ELIMINADO]canner2010.net
Por otro lado siempre (hasta el momento) se descarga un archivo install.exe desde distintos servidores y es modificado continuamente para intentar evitar la detección de los productos de seguridad. En el caso de ESET NOD32 siempre los ha detectado en forma proactiva como variantes de Win32/Kryptik.X donde la “X” son las distintas versiones del mismo archivo.
Además cada vez que analizamos uno de los dominios y archivos, los mismos hacen referencia al mismo número de afiliado (affid=34100). Es decir que existen al menos 34.100 delincuentes asociados en este caso:
Este número es utilizado para identificar a los asociados (distintos delincuentes afiliados que propagan el mismo malware) y luego el creador del malware paga un porcentaje por cada descarga e instalación del archivo dañino que cada socio realiza. Es decir que un afiliado cobrará más cuanto mayor sea la cantidad de usuarios engañados y mayor sea la cantidad de sistemas infectados por él.
Esto también puede verse cuando el usuario infectado intenta “registrar” el producto ya que la sitio contactado para realizar el pago a través de tarjeta de crédito también envía el mismo número de afiliado a través de una URL como http://invoice[ELIMINADO].com/buy2.php?affid=34100.
Por este motivo es que se utilizan las técnicas de BlackHat SEO, debido a que estos afiliados necesitan llevar más usuarios a sus sitios web, para infectarlos y luego cobrar por ello.
Cristian Borghello
Director de Educación
Promedio: 3.29
8-7-2010 a las 3:02 pm
[...] a la bandeja de entrada. Según Anti Phishing Working Group, existe un grupo en Internet llamado Avalanche (socios de negocio) al que se le han atribuido dos tercios de los ataques realizados en el último semestre de 2009. [...]
1-7-2010 a las 4:21 pm
[...] a entidades reconocidas para ganar la confianza de los usuarios, como es el caso de un grupo de asociados de negocio denomino Avalanche. Incluso, ideando recursos destinados a la automatización de estos [...]
17-6-2010 a las 1:12 pm
[...] primer lugar, el informe centra su atención en Avalanche, un grupo de asociados de negocio dedicados a la realización de ataques de phishing que, según el análisis, han sido los [...]
10-4-2010 a las 7:03 pm
[...] visita desde el buscador. Con estos datos los delincuentes pueden saber cuanto deben abonar a sus socios y afiliados de negocio en base a la cantidad de visitas que [...]
12-1-2010 a las 4:15 pm
[...] de este modelo delictivo interactúan de forma activa diferentes socios de negocio y afiliados donde cada uno retroalimenta el circuito delictivo a través de acciones fraudulenta y utilizando [...]
4-1-2010 a las 6:17 pm
[...] En este sentido, las técnicas de BlackHat SEO e Ingeniería Social constituyen un aliado para los afiliados de negocio que se encargan de estas maniobras fraudulentas. Ejemplos concretos son los generados a partir de [...]