Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 27 de mayo de 2009

Unique Sploits Pack. Manipulando la seguridad del atacante II

Unique Sploits Pack es otra de las alternativas que ofrece el submundo clandestino de la venta de crimeware de origen ruso. Sin embargo, posee una particularidad en relación a otros de su especie: incorpora un módulo llamado Vparivatel mediante el cual propaga rogue a través de Ingeniería Social.

En este caso, se trata de una versión beta de este crimeware que, aparentemente lleva poco tiempo activo ya que en los pocos días que venimos siguiéndolo, luego de "violar" su esquema de autenticación, no ha alcanzado un nivel de infección llamativo, por ende, tampoco ha logrado un número importantes de zombis.

Aún así, esta amenaza se encuentra activa y propagando diferentes amenazas, pero antes de ver cuáles son los códigos maliciosos que disemina, miremos un poco más de cerca algunos datos estadísticos que nos permiten tener una idea lo suficientemente concreta de la actividad que posee la botnet.

De la captura podemos desprender que:
  • El sistema operativo más explotados por este crimeware es Windows XP SP1.
  • El segundo lugar lo ocupan "otras" plataformas "no windows".
  • Windows XP SP2 es el tercero en la lista de los OS más explotados.
  • Internet Explorer en sus versiones 5.5, 6.0, 7.0 y Firefox 3.0.5 son los navegadores que más a vulnerado el crimeware a través de sus amenazas.
  • El ítem "others" en Browser, representa a navegadores como Opera y Amaya.
En cuanto a las zombis que ha logrado (hasta el momento) reclutar, se encuentran en diferentes países, los cuales podemos observar a través de la siguiente imagen.

Sin embargo, el módulo Vparivatel parecería no ser tan efectivo hasta el momento ya que no posee actividad "positiva" para el botmaster :D

Entre las amenazas que propaga Unique Sploits Pack se encuentran, según identificación de kaspersky:
El primero de ellos con una tasa de detección mediocre del 27.50% en base a 40 motores antivirus (11/40); y el segundo con un índice un poco más alto 43.59%, es decir, 17 compañías antivirus de 40 detectan la amenaza.

Estos códigos maliciosos son propagados a través de diferentes vulnerabilidades de las cuales algunas son más nuevas que otras, pero a pesar de la antiguedad de la mayor parte de vulnerabilidades que se explotan a través de este crimeware, siguen siendo muy efectivas.

No sólo se explotan vulnerabilidades en los navegadores web más populares (IE, Firefox y Opera), sino que también vulnerabilidades de dos lectores de archivos PDF ampliamente utilizados en la actualidad: Adobe Acrobar Reader y Foxit Reader.

Como se mencionó en un principio, actualmente este paquete crimeware se encuentra propagando malware de manera activa explotando diferentes vulnerabilidades en los equipos víctimas, y a pesar de no tener por el momento un número importante de máquinas controladas, no deja de ser una potencial y constante amenaza para la salud del sistema que obliga a mantener las actualizaciones de seguridad (del OS y de las aplicaciones) al día.

Información relacionada
YES Exploit System. Manipulando la seguridad del atacante
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades

# pistus

Ver más