El malware y los afiliados de negocio
Diciembre 28, 2009 10:11 amCuando hallamos el caso del video falso del ataque a Berlusconi y luego el del Papa y realizamos el posterior video sobre BlackHat SEO encontramos algunos datos de interés que compartimos a continuación.
Los dominios utilizados fueron registrados todos en Rusia el 12/12/2009 y alojados en un servidor con IP 193.169.13.XXX y por supuesto forman parte del mismo grupo delictivo o asociados de negocio. Algunos de los dominios involucrados son:
- [ELIMINADO]virussofttissue.com
- [ELIMINADO]spysoftware.net
- [ELIMINADO]externaltools.net
- [ELIMINADO]utilityblog.net
- [ELIMINADO]fervirustool.com
- [ELIMINADO]-ty-virus.net
- [ELIMINADO]billingsystem.com
- [ELIMINADO]saryoils.com
- [ELIMINADO]inputconsulting.com
- [ELIMINADO]movement.com
- [ELIMINADO]examine.com
- [ELIMINADO]canner2010.net
Por otro lado siempre (hasta el momento) se descarga un archivo install.exe desde distintos servidores y es modificado continuamente para intentar evitar la detección de los productos de seguridad. En el caso de ESET NOD32 siempre los ha detectado en forma proactiva como variantes de Win32/Kryptik.X donde la “X” son las distintas versiones del mismo archivo.
Además cada vez que analizamos uno de los dominios y archivos, los mismos hacen referencia al mismo número de afiliado (affid=34100). Es decir que existen al menos 34.100 delincuentes asociados en este caso:
Este número es utilizado para identificar a los asociados (distintos delincuentes afiliados que propagan el mismo malware) y luego el creador del malware paga un porcentaje por cada descarga e instalación del archivo dañino que cada socio realiza. Es decir que un afiliado cobrará más cuanto mayor sea la cantidad de usuarios engañados y mayor sea la cantidad de sistemas infectados por él.
Esto también puede verse cuando el usuario infectado intenta “registrar” el producto ya que la sitio contactado para realizar el pago a través de tarjeta de crédito también envía el mismo número de afiliado a través de una URL como http://invoice[ELIMINADO].com/buy2.php?affid=34100.
Por este motivo es que se utilizan las técnicas de BlackHat SEO, debido a que estos afiliados necesitan llevar más usuarios a sus sitios web, para infectarlos y luego cobrar por ello.
Cristian Borghello
Director de Educación
- Crimeware-as-a-Service: un modelo delictivo en aumento
- Reporte de amenazas de Diciembre
- El negocio de los códigos maliciosos
Categorias: Ingeniería Social, Malware
2 Comentarios »



Promedio: 3.29


12-1-2010 a las 4:15 pm
[...] de este modelo delictivo interactúan de forma activa diferentes socios de negocio y afiliados donde cada uno retroalimenta el circuito delictivo a través de acciones fraudulenta y utilizando [...]
4-1-2010 a las 6:17 pm
[...] En este sentido, las técnicas de BlackHat SEO e Ingeniería Social constituyen un aliado para los afiliados de negocio que se encargan de estas maniobras fraudulentas. Ejemplos concretos son los generados a partir de [...]