Resultados 1 al 3 de 3

Tema: Desde Rusia con amor

  1. #1 Desde Rusia con amor 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.010
    Descargas
    179
    Uploads
    246
    Que no os confunda el título. No hablamos del clásico de James Bond protagonizado por Sean Connery. Hablaremos de Rusia como una de las principales fuentes de creación de malware (de integración en botnets, en este caso), y del amor, como reclamo.

    Los reclamos que el crimen organizado usa para diseminar malware son muchos. Casi siempre se focalizan en áreas de interés para los usuarios, y es que no hay nada mejor que un buen gancho para comercializar malware. Por citar algunos ejemplos:

    * Pornografía online, generalmente a través de falsos códecs presuntamente necesarios para visualizar vídeos X
    * Farmacia online, con reclamos relacionados con productos orientados a potenciar la sexualidad (Viagras, alargamiento de ciertos sitios del cuerpo) y/o medicación diversa (antidepresivos, generalmente)
    * Packs de aplicaciones piratas en P2P (los clásicos keygens para usar el Photoshop o el Nero de un modo ilegal, por ejemplo)
    * Postales digitales (de amigos de Brasil que no tienes ni nunca tuviste) y chorradas varias (reenvía esto 50 millones de veces o morirás en 24 horas) para diseminarse en los correos asociados a las redes de mensajería instantánea.

    Hoy quería hacer una mención a un reclamo que no es tan habitual, pero que lógicamente tiene su gancho. El amor.


    A la página en la que se muestra ese anuncio (ubicada en un equipo comprometido conectado a una línea ADSL norteamericana de AT&T) se llega a través de un correo escueto que sólo contiene en el cuerpo un mensaje tal que:

    Código:
    Eternal Love http://68.*.*.150/
    La URL, una vez visitada, muestra el mensaje del corazoncito, y el enlace "click here" nos invita a descargar algo. La descarga es un ejecutable, que como podéis imaginar, viene con regalito sorpresa. Pasamos el ejecutable por el scanner de Virus.org con el siguiente resultado:


    El payload de la muestra es un viejo conocido en el mundo del malware. La enésima variante del gusano Zhelatin, cuya variante original data de hace más o menos un año. La actividad del gusano es básicamente la de propagación, previa instalación en local de un TrojanProxy que permite a los atacantes, mediante la instalación de un proxy clandestino en la máquina, abrir un puerto TCP al azar para poder controlar la máquina posteriormente. En paralelo, el gusano modifica el registro para ser ejecutado en cada reinicio, bloquea el firewall de Windows y adultera las conexiones compartidas. Se autopropaga enviando el mensaje a todas las direcciones de correo que encuentre en la máquina.

    Por otro lado, el documento HTML al que llegamos siguiendo el enlace del correo, contiene una curiosa cadena javascript en su código fuente, para ofuscar la ubicación real del ejecutable malicioso:

    Código PHP:
    <script language="javascript">
    document.writeunescape( \'%3C%61%20%68%72%65%66%3D%22%77%69%74%68%5F%6C%6F%76%65%2E%65%78%65%22%3E%0D%0A\' ) );
    </script> 
    Si sometemos a unescape a la cadena obtenemos el hiperenlace real que apunta al ejecutable:


    Esta conversión la hemos hecho con la extensión para Firefox Net-Force Tools, la cual os aconsejo instaléis.

    Lecciones aprendidas

    1. En Internet no todo el mundo va de buen rollo, y por desgracia, existe gente que se dedica a cosas oscuras (dejemos la definición ahí). Como siempre, el consejo es no abrir ni seguir los enlaces de mensajes de correo no esperados, cuyos destinatarios no conozcamos, o cuyos asuntos provengan en lenguas foráneas. Piensa mal y acertarás. Es la regla de oro de la seguridad informática doméstica.

    2. Los antivirus no son garantía suficiente para no sufrir infecciones. En el momento de someter esta muestra a la batería de motores mostrada arriba, como se puede apreciar, hay motores, alguno de ellos ilustre y recomendable como NOD32, que se traga la carga maliciosa y no advierte presencia de malware alguna. El antivirus es un complemento necesario, pero nunca es suficiente. Los datos hablan por sí solos: de los 23 motores empleados para el análisis, 12 (el 53%) no han detectado la muestra como maliciosa. Cuidado.

    3. Cuando sigues estos enlaces y pinchas cumpulsivamente en todo lo que te mandan, estás permitiendo que un grupo de atacantes organizados se apodere de tu máquina, y que tu máquina sea un esclavo más en los botnets que el crimen organizado usa para robar, extorsionar y cometer delitos tecnológicos diversos. Piensa dos veces lo que haces antes de abrir correos sin precauciones.

    Fuente: http://www.sahw.com/wp/archivos/2008...usia-con-amor/
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.450
    Descargas
    11
    Uploads
    0
    No conocia esa net froce, a instalar !

    Muy buen articulo !
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  3. #3  
    Moderador HH Avatar de ABODUJANA
    Fecha de ingreso
    Jun 2006
    Ubicación
    Por Tetouan
    Mensajes
    921
    Descargas
    14
    Uploads
    0
    Esta conversión la hemos hecho con la extensión para Firefox Net-Force Tools, la cual os aconsejo instaléis.
    Existe algo parecido para OPERA ?
    Citar  
     

Temas similares

  1. Ciber-espionaje koreano tendria en Rusia su punto de mira
    Por clarinetista en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 17-12-2012, 22:07
  2. Respuestas: 0
    Último mensaje: 13-02-2008, 17:49
  3. Amor a primera vista
    Por ABODUJANA en el foro OFF-TOPIC
    Respuestas: 1
    Último mensaje: 16-02-2007, 03:48
  4. Respuestas: 7
    Último mensaje: 27-10-2006, 16:04
  5. Nuestro querido Bill Gates y Rusia
    Por stealth en el foro OFF-TOPIC
    Respuestas: 4
    Último mensaje: 06-10-2005, 06:08

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •