Publicaciones

Fábrica de beneficios

.tbor {border:solid 1px #000000;padding:5px;width:60%;};
.flink {color:blue;text-decoration:underline;};

El presente artículo está dedicado a los resultados de la investigación de un mensaje de spam que demuestra qué métodos usan los malhechores de hoy para crear botnets y realizar envíos de spam. Estos métodos y procedimientos son de carácter francamente criminal y tienen un solo objetivo – el enriquecimiento de los ciberdelincuentes.

SPAM

A principios del verano del año 2009 empezaron a llegar a nuestro laboratorio de filtración de contenidos correos electrónicos que a primera vista eran los típicos mensajes de spam. Era un tipo de publicidad de medicinas, muy común en los mensajes de spam, con un diseño estándar – una parte de HTML e imágenes insertadas:


Un ejemplo de correo spam, enviado a webmaster@viruslist.com

Pero todos esos correos tenían la misma peculiaridad que permitía distinguirlas del flujo común de mails. Los enlaces no llevaban a sitios web de spammers, sino a páginas HTML ubicadas en sitios web legítimos.

Aunque los dominios de los enlaces se cambiaban en cada mail, la ruta del servidor tenía el mismo aspecto: “1/2/3/4/buy.html”.

 

Texto inicial del mail que contiene enlaces a sitios web legales

Todas las páginas a las que llevaban los enlaces, contenían un archivo HTML de una línea con una etiqueta META refresh. La función de esta etiqueta es redireccionar al usuario a otra página, en este caso, al sitio web de una tienda online, que es lo que en realidad publicitaban los spammers.

Texto inicial de la página web que redireccionaba al sitio web de los spammers

 

El sitio web al cual se redireccionaba a los usuarios

Un método de detección de spam es el de incluir el nombre del dominio indicado en el enlace del correo spam en la lista de rechazados, lo que permite detectar todos los mensajes spam de envío publicitario sin tener en cuenta el texto del mensaje. En este caso, la detección de los dominios indicados en el mensaje spam no era posible ya que los enlaces llevaban a los sitios web legales, y al mismo tiempo los colaboradores del laboratorio de filtración de contenidos determinaban cerca de 10 nuevos dominios. Los spammers conocen este método desde hace unos años, pero lo usan raramente, ya que requiere más gastos que la compra de nuevos dominios.

La versión más probable era que los sitios web indicados en las cartas habían sido comprometidos y usados por los malhechores para colocar las páginas web que redireccionaban a los usuarios al sitio web de los spammers. Pero no podíamos comprender cómo habían podido comprometer una cantidad tan considerable de sitios web.

Sitios web

La mayoría de estos sitios web no pueden comprometerse usando métodos estándar. Un análisis breve de los recursos web comprometidos no demostró ni las mismas vulnerabilidades, ni las mismas tecnologías de construcción de sitios web, etc. Además, la mayoría de ellos habían sido creados solamente con HTML, sin ningún script. Lo único común en los sitios era una carpeta con el archivo “buy.html” que contenía una etiqueta HTML que redireccionaba a los usuarios al sitio web de la tienda online de los spammers que vendía medicinas.

Pero durante el análisis profundo del contenido de uno de los sitios web comprometidos localizamos un IFRAME muy bien disfrazado, que redireccionaba a los usuarios al sitio web b9g.ru. Es lo que enseguida llamó la atención de los analistas, ya que los IFRAME de este tipo, con enlace a sitios web sospechosos, los usan frecuentemente los malhechores para infectar los ordenadores de los usuarios mediante exploits.

 

Contenido de la página web del sitio web comprometido

El análisis de la ubicación del sitio b9g.ru demostró que está ubicado en 5 direcciones IP:

  • 77.37.20.130,
  • 90.156.144.78,
  • 77.37.19.173,
  • 77.37.19.179,
  • 77.37.19.205.

Al recabar información sobre los dominios que también estaban registrados en estas direcciones, determinamos los dominios cuyas direcciones usaron los malhechores para insertar el IFRAME de los sitios comprometidos, por ejemplo: a3l.ru, b5r.ru, b5z.ru, b7p.ru, b8o.ru, b9g.ru, c6y.ru, c8k.at, f5l.at, f5x.at etc. Es lo que confirmó nuestras sospechas acerca de la nocividad del IFRAME localizado en el sitio web comprometido.

Exploits

En la siguiente etapa era necesario determinar qué era lo que se descargaba а los ordenadores de los usuarios desde la dirección http://b9g.ru:****/*****.php. Como era de esperar, al visitar el sitio web por primera vez los exploits se descargaban junto con index.php. Los malhechores usaban diferentes vulnerabilidades del software, las más peligrosas y “dinámicas” eran los exploits para vulnerabilidades en PDF.

 

 

Contenido de index.php antes y después de descifrarlo

Bot

El resultado de la explotación de las vulnerabilidades era la descarga y la instalación en los ordenadores de los usuarios del archivo ejecutable Backdoor.Win32.Bredolab. La función de este programa nocivo, mediante las tecnologías rootkit que implementa, es la descarga y la instalación de otros programas nocivos.

 

Parte del damp de la memoria del rootkit downloader descargado desde la dirección

Bredolab intenta evitar la ejecución de sí mismo en SandBox. Para ello, comprueba la conformidad de:

  1. Nombre del usuario − USER, user, CurrentUser, Sandbox;
  2. Nombre ordenador − SANDBOX;
  3. La presencia de la línea “VBOX” en la clave del registro HKLMHARDWAREDescriptionSystemSystemBiosVersion
  4. Valor de la clave ProductID en HKLMMicrosoftWindowsCurrentVersion:
    • 55274-640-2673064-23950 (JoeBox)
    • 76487-644-3177037-23510 (CWSandbox)
    • 76487-337-8429955-22614 (Anubis)

Si por lo menos una condición se cumple, el programa nocivo termina su trabajo.

Bredolab también termina su trabajo, si en el ordenador infectado está instalado COMODO Firewall.

En los demás casos Bredolab se copia a sí mismo en el archivo %Temp%~TM27FB4A.TMP, implementa su código en explorer.exe, ejecuta un nuevo flujo en él y se desplaza a sí mismo en %Temp%~TM%TempName%. El futuro funcionamiento del bot tiene lugar en el flujo ejecutado por él mismo, y el proceso inicial finaliza.

Si logra conectarse al centro de comando, el bot envía una solicitud GET:

GET /l/controller.php?action=bot&entity_list={números separados por comas}
&uid=11&first={0|1}&guid={VolumeSerialNumber}&rnd=6293712

Como respuesta, el servidor remite al bot los programas cifrados que el bot puede inscribir en el nuevo archivo %Windows%Tempwpv%rand_number%.exe (con posterior ejecución del archivo) o en el proceso nuevamente creado – svchost.

 

Un ejemplo de mensaje cifrado del centro de comando

HTTP/1.1 200 OK
Server: nginx
Date: Mon, 06 Jul 2009 17:08:22 GMT
Content-Type: text/html; charset=utf-8
Connection: close
X-Powered-By: PHP/5.1.6
Version: 1
Content-Length: 55709
Entity-Info: 1241530597:32768:1;1246898982:22941:2;
Rnd: 982101
Magic-Number:
32|1|187:55:66:132:143:54:243:114:97:146:132:5:192:141:199:113:
160:130:101:167:50:61:32:107:127:128:84:144:169:61:158:100:…

Respuesta del centro de comando.
La clave para descifrar está en el campo Magic-Number

Mientras funciona, el bot informa a los titulares del botnet sobre su actividad, enviando una solicitud GET del siguiente aspecto:

GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11&
entity={число:unique_start|unique_failed|repeat_start|repeat_failed;число:…}

Troyano para robar contraseñas

Al conectarse el bot con el centro de comando, el programa nocivo Trojan-PSW.Win32.Agent.mzh, que roba las contraseñas para los clientes FTP, se descargaba y se instalaba en el sistema infectado.

 

Código descifrado del troyano para robar contraseñas de clientes FTP

Las contraseñas robadas para el acceso a los sitios web a través del protocolo FTP la mandaban los malhechores a la siguiente dirección:

 

Ubicación del servidor al cual se mandaban las contraseñas robadas para el acceso a los sitios web

Por fin se aclaró lo de los sitios web comprometidos. Los malhechores no intentaban comprometer un gran número de sitios web usando inyecciones- SQL o exploits para los motores de los sitios web, sino que simplemente robaban las contraseñas para clientes FTP, y, de esta manera, obtenían la posibilidad de gestionar el contenido de los sitios web.

Por la descripción del troyano Trojan-PSW.Win32.Agent.mzh en los foros de los hackers se localizó el sistema para robar las contraseñas de los sitios web que contenía este programa. La compra del sistema se ofrecía por 2.000 dólares.

Descarga de otros programas nocivos

Una semana más tarde, el centro de comando de la botnet dio la orden de descarga de bots para el envío de spam − Rustock (Backdoor.Win32.HareBot) y Pushdo (Backdoor.Win32.NewRest.aq)!

Otra semana más tarde, se instaló en los ordenadores infectados un programa nocivo de la familia de Koobface y un antivirus falso.

Esquema del ataque

Como resultado de una pequeña investigación que empezó con un mensaje de spam enviado a la dirección webmaster@viruslist.com, se pudo averiguar el siguiente esquema del trabajo de los malhechores:

 

Esquema de funcionamiento del sistema que compromete los sitios web y envía los mensajes spam

Este esquema demuestra las tecnologías y métodos que los malhechores usan con frecuencia para crear botnets y preparar la “base de partida” para el envío de spam:

  1. Comprometer recursos legítimos.
  2. Ubicación de páginas que redireccionan a los usuarios a los sitios web de spammers en páginas web comprometidas.
  3. Ubicación de enlaces a exploits en los sitios web comprometidos.
  4. Construcción de la botnet con los ordenadores infectados de los usuarios de los sitios web comprometidos.
  5. Robo de contraseñas de los sitios web de los usuarios comprometidos.
  6. Descarga de spambots para el envío de spam y otros programas nocivos, en los equipos que forman parte de la botnet.

Estos métodos permiten a los malhechores organizar un proceso bien gestionado, que es cíclico en su forma ideal.

Resumen

El envío de mensajes spam con enlaces los sitios web comprometidos e infectados continúa. Cada hora localizamos varias docenas de nuevas direcciones de sitios web de este tipo.

Ejemplo de carta con un enlace a la página en un sitio web comprometido

 

Texto inicial del HTML de la carta

El enlace (http://…/1.html) lleva a la página del sitio web comprometido que contiene una etiqueta que redirecciona al usuario al sitio web de la tienda online de medicinas.

Los spammers usan este método en diferentes cartas, cambian los nombres de las páginas de redirección, difunden otros exploits a través de IFRAME, pero el sentido casi no cambia. Todas estas tecnologías “en cadena” se usan para obtener un beneficio.

P.D.

En julio apareció una noticia sobre un agujero en el famoso torrent-tracker Torrentreactor.

Según el método de implementación de las etiquetas que redireccionaban a los usuarios al sitio web con exploits se ve que se usaba un programa nocivo de robo de contraseñas para clientes FTP. Usando este programa, se robaba la contraseña del ordenador desde el cual se realizaba el acceso al sitio web.

 

Parte del sitio web comprometido Torrentreactor.net (screenshot de http://securitylabs.websense.com/content/Assets/AlertMedia/Torrenreactor1_alert.jpg)

Es otro ejemplo de muchos agujeros del mismo tipo.

Fábrica de beneficios

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada