Cuando hallamos el caso del video falso del ataque a Berlusconi y luego el del Papa y realizamos el posterior video sobre BlackHat SEO encontramos algunos datos de interés que compartimos a continuación.

Los dominios utilizados fueron registrados todos en Rusia el 12/12/2009 y alojados en un servidor con IP 193.169.13.XXX y por supuesto forman parte del mismo grupo delictivo o asociados de negocio. Algunos de los dominios involucrados son:

• [ELIMINADO]virussofttissue.com
• [ELIMINADO]spysoftware.net
• [ELIMINADO]externaltools.net
• [ELIMINADO]utilityblog.net
• [ELIMINADO]fervirustool.com
• [ELIMINADO]-ty-virus.net
• [ELIMINADO]billingsystem.com
• [ELIMINADO]saryoils.com
• [ELIMINADO]inputconsulting.com
• [ELIMINADO]movement.com
• [ELIMINADO]examine.com
• [ELIMINADO]canner2010.net

Por otro lado siempre (hasta el momento) se descarga un archivo install.exe desde distintos servidores y es modificado continuamente para intentar evitar la detección de los productos de seguridad.  En el caso de  ESET NOD32 siempre los ha detectado en forma proactiva como variantes de Win32/Kryptik.X donde la “X” son las distintas versiones del mismo archivo.

Además cada vez que analizamos uno de los dominios y archivos, los mismos hacen referencia al mismo número de afiliado (affid=34100). Es decir que existen al menos 34.100 delincuentes asociados en este caso:

Este número es utilizado para identificar a los asociados (distintos delincuentes afiliados que propagan el mismo malware) y luego el creador del malware paga un porcentaje por cada descarga e instalación del archivo dañino que cada socio realiza. Es decir que un afiliado cobrará más cuanto mayor sea la cantidad de usuarios engañados y mayor sea la cantidad de sistemas infectados por él.

Esto también puede verse cuando el usuario infectado intenta “registrar” el producto ya que la sitio contactado para realizar el pago a través de tarjeta de crédito también envía el mismo número de afiliado a través de una URL como http://invoice[ELIMINADO].com/buy2.php?affid=34100.

Por este motivo es que se utilizan las técnicas de BlackHat SEO, debido a que estos afiliados  necesitan llevar más usuarios a sus sitios web, para infectarlos y luego cobrar por ello.

Cristian Borghello
Director de Educación

Categories: Ingeniería Social, Malware
2 Comments »

Muchos lectores se habrán acercado la semana pasada al seminario en línea: Prácticas de prevención de malware para las fiestas. En él, desarrollamos los principales cuidados a tener en cuenta durante estas semanas, teniendo en cuenta la cercanía a las fiestas, y la posibilidad de que utilicen estas temáticas para la propagación de malware, como técnica de Ingeniería Social.

Para aquellos que no pudieron asistir al seminario en linea, ponemos a su disposición el artículo Prácticas de prevención de malware para estas fiestas, que resume los principales cuidados que debe tener el usuario para evitar exponerse a este tipo de amenazas.

Comparto con ustedes las primeras lineas del artículo:

Las fiestas navideñas son uno de los eventos más importantes en todo el mundo y suelen ser una época del año en la que Internet es muy utilizada para enviar saludos y ponerse en contacto con amigos y familiares. Pero las fiestas también son aprovechadas por los desarrolladores de malware para maximizar sus ganancias económicas, utilizando la Ingeniería Social para propagar sus amenazas. En el siguiente artículo se presentan una serie de buenas prácticas para prevenir este tipo de ataques.

Recuerden que pueden leer el artículo desde nuestro Centro de Amenazas.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación, Informes, Ingeniería Social
2 Comments »

Luego del alerta que publicamos sobre el video falso de Berlusconi que propaga malware, hemos realizado un video educativo para mostrar en un formato multimedia cómo son las etapas de este tipo de ataques.

En el video podrán observar cómo un usuario puede infectarse y exponerse a un código malicioso, a partir de una búsqueda de una noticia de actualidad en un buscador. Esto se debe a que los atacantes utilizan técnicas de Black Hat SEO para ubicar sus sitios web entre los mejores resultados en los buscadores más populares.

Por otro lado, hemos descubierto que el mismo sitio web que contenía noticias indexadas sobre Berlusconi, contaba con sitios indexados con otro tipo de noticias de interés como “Obama”, “Mundial 2010″, y muchos otros. De esta forma, los atacantes poseen en un mismo sitios web cientos (o miles) de páginas a través de las que pueden infectar a los usuarios.

Sin más preámbulos, aquí tienen el video. Que lo disfruten:

Lamentablemente, por el momento los sitios siguen activos, aunque los usuarios de ESET NOD32 están protegidos ya los archivos descargados son detectados en forma proactiva como Win32/Adware.SecurityTool.AA y diferentes variantes de Win32/Kryptik.

Recuerden que, si les gusta este formato, en el Centro de Amenazas de ESET Latinoamérica pueden encontrar más videos educativos para seguir aprendiendo.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación, Ingeniería Social, Malware, Multimedia
6 Comments »

Si de estrategias de engaño se trata, en mayor o en menor medida los creadores de malware dicen presente en todos los escenarios, como en este caso la creación de una página web que simula necesitar un Runtime de Java.

Bajo el slogan “novas novidades” (en español “nuevas noticias”), este malware del tipo troyano, detectado por ESET NOD32 bajo el nombre de Win32/TrojanDownloader.VB.NUI, se propaga a través de una página web maliciosamente creada para tal fin, y orientada a los usuarios de habla portugués. A continuación podemos ver una captura de la página:

Al momento de acceder a la página, se despliega la estrategia de engaño que consiste en simular la necesidad de instalar la aplicación mencionada. En esta instancia se intenta descargar un archivo binario llamado “video.exe“. El usuario desprevenido que lo ejecute, será víctima de un troyano desarrollado con el lenguaje VisualBasic y diseñado para descargar otros códigos maliciosos en el equipo comprometido.

A pesar de estar orientado al público que habla portugués, la metodología empleada es moneda corriente como estrategia de propagación, y sin bien constituye una de las técnicas más triviales, sigue manteniendo altos índices de infección.

Bajo este escenario, se torna indispensable instalar una solución de seguridad antivirus con capacidades proactivas como las que ofrece ESET y no hacer caso omiso a los consejos de seguridad que constantemente estamos remarcando.

Jorge

Categories: Alertas, Ingeniería Social, Malware
1 Comment »

En muchas ocasiones hemos mencionado que cualquier excusa es viable para que los desarrolladores de malware propaguen sus amenazas, valiéndose siempre de alguna metodología de engaño.

Es así que nuestro Laboratorio de Análisis e investigación ha encontrado una página web supuestamente del grupo pop argentino Miranda! exclusivamente creada para propagar un código malicioso. A continuación podemos ver una captura de la web.

Como vemos en la captura, la página presenta un enlace incrustado con la leyenda “Has click aquí para descargar“, ofreciendo supuestamente la descarga del último disco de Miranda!. Sin embargo, el usuario desprevenido que haga clic sobre dicho enlace estará descargando un archivo ejecutable con el nombre “Esimposible-miranda.mp3.exe“, detectado por ESET NOD32 bajo el nombre de Win32/VB.OQE troyano.

Esta amenaza se encuentra diseñada para comprometer la privacidad ya que se encarga de monitorear las actividades del usuario y realizar otras acciones propias de todo tipo de malware como por ejemplo crear claves maliciosas en el registro del sistema para asegurar su ejecución en cada inicio del equipo.

Vale la pena remarcar que el desarrollador está haciendo uso de una de las técnicas más triviales: la doble extensión. De esta manera logra disfrazar el malware intentando hacerlo pasar como un archivo del tipo .mp3 cuando en realidad no lo es.

En consecuencia, además de contar con una solución de seguridad antimalware proactiva como las ofrecidas por ESET, es importante configurar cuestiones básicas en el sistema operativo; en este caso, la visualización de las extensiones de los archivos.

Actualización noviembre 30, 2009: Este código malicioso ya no se propaga. Desde el Laboratorio de Análisis e  Investigación de ESET Latinoamérica hemos podido gestionar la baja del redireccionamiento a la descarga del archivo dañino.

Jorge

Categories: Alertas, Ingeniería Social, Malware
2 Comments »