En el desafío 11 se trata de analizar un supuesto sitio web que oculta un script y un pequeño criptograma. El objetivo del desafío era resolver ambas situaciones.

La primera parte plantea una situación típica del malware actual en donde un script es ocultado dentro de una página web pero a la misma no se puede acceder directamente y se deben seguir ciertos pasas para visualizarla. Entonces, si se intenta ingresar al enlace suministrado, se obtiene un error 403 real (“acceso prohibido”), el cual puede ser comprobado en la cabecera.

Esto sucede con gran parte de los navegadores actuales y en cualquier sistema operativo, pero si se logra “engañar” al servidor es posible obtener más información. Para ello, se debe cambiar el User-Agent simulando que se ingresa al sitio con un navegador web distinto a los tradicionales y existen muchas maneras de realizar esta acción con extensiones, plugins, herramientas para cualquier sistema operativo, etc. En este caso elegimos la aplicación CURL (una de las pistas hablaba sobre uno de los Tres chiflados, Curly):

En este caso simule el “navegador web” llamado “curl” pero habría podido utilizar cualquier cadena y como puede verse se descarga una página web de 24.727 bytes, la cual había que analizar.

Esta página simulaba un error 404 muy parecido al error real (“página no encontrada”) obtenido en nuestro blog y lo que había que hacer era buscar las diferencias entre ambas. Este procedimiento también es típico en el malware, debido que al simular el error de página no encontrada, el usuario no se percata de que acaba de ser infectado por un script (cosa que por supuesto no ocurre aquí).

Al analizar las diferencias lo primero que se vé es que en la parte superior de la página aparece la cadena del User-Agent detectado por el servidor: en este caso “curl”. Otra diferncia se ve aproximadamente en la mitad del archivo, ya que se ha agregado un script que en la página original no aparece:

Aquí se ve otra pista “resuelve y envíanos el criptograma” y una referencia al archivo sendus.js. Para obtener dicho archivo hay que seguir el mismo procedimiento de descarga anterior y una vez descargado el mismo se puede ver la siguiente cadena: lrreaaisbtoeoo@t.

Al saber que se trataba de un criptograma (sencillo) se podían aplicar distintas técnicas. La longitud de la misma es de 16 bytes lo que da una idea sobre dividir la cadena en partes iguales para verificar lo que se obtiene:

• Dividiendo en 2: lrreaaisbtoeoo@t -> lraibo…
• Dividiendo en 4: labora…
• Dividiendo en 8: lstrbl…

Queda claro que en la segunda opción aparece algo útil. Esto se obtiene de la siguiente tabla utilizada para “cifrar” el mensaje original:

Leyendo de izquierda a derecha se ve la cadena cifrada y de arriba hacia abajo se lee la cadena original, la cual era la solución al desafío: laboratorio@ESET.

Cabe aclarar que si en el juego propuesto, se tratara de un malware, el usuario habría descargado un script real y dañino y quizás estaría infectado con algún tipo de malware. Aquí radica la importancia de conocer este método para realizar análisis.

Por pocos minutos, el ganador en este caso es Thor, quien brindó la respuesta y la justificación. Dentro de poco tiempo estarás recibiendo tu licencia.

Aprovechamos para felicitar a todos los que han jugado, esperando que la próxima vez sean ellos los beneficiados.

Cristian Borghello
Director de Educación e Investigación

Categories: Desafío
2 Comments »

Una nueva estrategia de engaño que atenta contra la disponibilidad de la información está siendo utilizada actualmente a través de la propagación de malware del tipo ransomware.

Como hemos mencionado en varias oportunidades, constantemente los delincuentes buscan idear nuevos métodos de engaño que permitan cautivar a los usuarios para que estos caigan en una trampa. En esta nueva campaña la excusa es la violación de los derechos de autor y su método de propagación es el mismo que utiliza actualmente cualquier tipo de rogue, páginas web a través de BlackHat SEO (también conocido como SEO Poisoning).

Como es habitual en la mayoría del ransomware actual, se bloquea el acceso al sistema operativo mostrando en pantalla una ventana que advierte sobre una supuesta “Infracción de Derechos de Autor”. A continuación podemos observar el ejemplo:

Para ampliar la cobertura de ataque, el malware se encuentra en 10 idiomas y supuestamente el emisor de la alerta es una fundación antipiratería que no existe, y que bajo la supuesta detección en el sistema de material que viola los derechos de autor como lo son las descargas de ciertas películas, juegos y música desde redes P2P (una actividad muy común) busca que el usuario se “asuste” y para “regularizar” su situación y decida entre dos opciones posibles:

• Transferir el caso a los tribunales. Desaparece la ventana de alerta, pero cuando el sistema se reinicia vuelve a bloquear el acceso al sistema operativo.
• Resolver el caso en una audiencia previa al juicio. Redirecciona a este formulario que incita a pagar una determinada cantidad de dinero en concepto de multa.

De esta manera, el atacante busca engañar a los usuarios a través de una temática ampliamente conocida por los usuarios que descargan archivos desde redes P2P.

Para actuar de forma más efectiva, este malware, al activarse en la computadora víctima, obtiene su dirección IP y realiza una consulta (whois) para identificar su localización geográfica. De esta forma, puede personalizar la estrategia mostrando información relacionada al supuesto ente judicial de competencia en su país.

Es importante, sobre todo en ámbitos corporativos, generar medidas de prevención porque si una empresa utiliza programas no licenciados pueden caer fácilmente en la trampa ya que, al tener bloqueado el sistema, los usuarios no podrán acceder a la información de la compañía

Afortunadamente, los ambientes que poseen implementados las soluciones de ESET estarán protegidos en todo momento de esta amenaza ya que la misma es detectada con el nombre Win32/Adware.Antipiracy.

Jorge Mieres
Analista de Seguridad

Categories: Malware
1 Comment »

Luego de la masiva campaña protagonizada por Koobface de hace pocos días, nuevamente aparece una nueva variante que esta vez se aprovecha de los dominios registrados en el popular sitio Blogspot.

Cuando el usuario accede a la dirección del supuesto blog, se lleva a cabo una acción del tipo multi-stage (encadenamiento de direcciones web con contenido malicioso) empleando como intermediario una de las tantas páginas utilizadas en la campaña anterior con título “brief cord pack pitched“. Sin embargo, ahora este título es aleatorio y, algunos de ellos son:

• advantageous cantankerous detach student
• litter schismatic sensualist switch
• ancient haul outburst relate
• confident diplomatic distrustful indignation
• dreamy market radiation tilt
• brushý celebrate fountain replete
• intervene melodramatic small tunnel
• professed seethe thief triumphant

Esta página contiene un script que hace referencia a una página PHP cuyo nombre es aleatorio.

A su vez, este archivo contiene un script ofuscado que se encarga de redireccionar al usuario hacia la visualización de una página falsa de YouTube, con la misma estrategia empleada en la campaña anterior: “Video posted by… Hidden Camera“.

La estructura de redireccionamiento que utiliza Koobface como estrategia de propagación en esta campaña se observa en el siguiente esquema:

Cuando el usuario por algún motivo accede a la dirección del blog, es redireccionado a otra página que contiene un script (sitio vulnerado) y luego, nuevamente hacia otra que corresponde a la página falsa de YouTube, desde la cual se descarga Koobface.

Una vez que el gusano infecta el sistema, establece una conexión contra un servidor desde el cual se descargan diferentes tipos de códigos maliciosos, además de reportarse cada determinado tiempo (generalmente 60 segundos) al C&C (Comando & Control) de la botnet.

Como vemos, Koobface no solo transforma el equipo en un zombi sino que también en un nido de malware destinado a retroalimentar la economía de los delincuentes informáticos. Esto conlleva a la conclusión de la necesidad de contar con soluciones de seguridad antivirus proactivas como las ofrecidas por ESET a través de su motor ThreathSense.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
1 Comment »

En esta oportunidad un cliente ha suministrado este enlace que dice ser sospechoso para que procedamos a su análisis y posteriormente le brindemos un informe en español al respecto.

Como siempre el primer usuario en dejarnos la solución en los comentarios, recibirá una licencia de ESET NOD32.

Cristian Borghello
Director de Educación

Categories: Desafío
24 Comments »

En los últimos días se están haciendo masivos distintos tipos de correo spam que dicen provenir de Twitter pero que en realidad poseen enlaces a sitios de venta de productos farmacéuticos.

Por ejemplo en el siguiente correo se puede ver claramente el engaño:

Como puede verse dice haber sido enviado por “Twitter Support  de support@twitter.com” y tener un enlace a dicho sitio pero, si se presta atención, el enlace lleva a un sitio que nada tiene que ver con Twitter. Un usuario distraído o con cierto apuro para leer el supuesto mensaje pendiente, no dudaría en hacer clic, y este es el punto fuerte que posee esta técnica de Ingeniería Social.

Si se sigue el enlace se puede ver hasta donde nos lleva:

El enlace original redirige al usuario a otro sitio en donde se ofrece productos farmacéuticos, a través del clásico sitio con la imagen de los doctores:

Las técnicas de spam empleadas por los delincuentes se actualizan continuamente y por eso es importante contar con educación y protección para evitar este tipo de correos. En el caso de  ser usuario puede utilizar ESET Smart Security que integra un antivirus, un firewall y un antispam y, en el caso de su empresa puede contar con las soluciones de ESET para protección de correo corporativo.

Cristian Borghello
Director de Educación

Categories: Alertas, Ingeniería Social, Spam
No Comments »