Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 4 de julio de 2009

Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU

Luego de un largo tiempo de inactividad, el creador (o creadores) del troyano Waledac, vuelven a ejecutar, hoy 4 de Julio (Día de la Independencia estadounidense), una nueva campaña de propagación utilizando el mismo mecanismo que caracteriza a Waledac, y caracterizó a Nuwar en su momento; Ingeniería Social.

En esta oportunidad la excusa es el Día de la Independencia de EEUU que se festeja hoy mismo y el mecanismo de propagación consiste en la simulación de un supuesto video mostrando los juegos artificiales por la celebración del especial día en cuestión.

Es probable que esta masiva campaña de propagación/infección termine con un índice de infección bastante alto debido a que el vector por el cual se está diseminando la amenazas es el correo electrónico que respetando una característica propia del spam, la masividad, legará a millones de usuarios aprovechando el poder computacional de la botnet formada por Waledac.

Por el momento no posee alguna característica relevante que diferencie el mecanismo de diseminación empleado en esta oportunidad con relación a las anteriores, quizás el periodo de actividad quede prolongado por un buen tiempo.

Aún así, las analogías que encontramos son evidentes. Por ejemplo, sigue haciendo uso de técnicas BlackHat SEO en la composición de los nombres de dominios haciendo alusión a la excusa que utiliza (firework, 4th, independence, happy, july, movies, video).

Entre los nombres de dominios creados a partir de estas palabras se encuentran (propagando waledac de manera activa):

videoindependence .com
video4thjuly .com
outdoorindependence .com
moviesindependence .com
movieindependence .com
moviesfireworks .com
moviefireworks .com
movies4thjuly .com
movie4thjuly .com
interactiveindependence .com
holifireworks .com
holidaysfirework .com
happyindependence .com
4thfirework .com
freeindependence .com
4thfirework .com


Los nombres de binarios utilizados por Waledac hasta el momento son:

install.exe 885ac83376824a152f2422249cf4d7e5
install.exe b5f3d0150fb4b7e30e7a64d788e779e0
install.exe 424a85c096ce6d9cbbe8deb35a042fda

movie.exe 74c3b53958527b8469efa6e6d8bccaf9
movie.exe 2740cee619deccad6ed49ff6a23ebd14
movie.exe a45d0405518ad2c294ed1b151e808f55
movie.exe 426e031049675c8136c6739530057ba5
movie.exe 395b1d4a68f435416cbb69cae0c220c7
movie.exe 28de1675b2694927c16d34eacdafbc56

run.exe 30a6e0e3bdb000ce85dc8d754582f107
run.exe b14c93fb2cf91d2a03e20f7165101f5e
run.exe 3083b6bc236121e6150f13f3d0560635

fireworks.exe c62c388472695589bd5e0f4989d93ab0
fireworks.exe ae2fc409bd054047f9582fb9f76eb1aa
fireworks.exe 1b21e77b08c31bf99e5cc3f6cfd11954

setup.exe 3c067587383d3c26a3b656f25c54ea47
setup.exe f2589d96b7f6838ae322e4c6739efd07
setup.exe 543630de475994ce778fa35ce45984f4
setup.exe 9fa07157ee1e1c1b86a27df816596d13

patch.exe dcde62f021146696100d87b9c741be73
patch.exe 6811725f3cdda17ba5f8877f02a796d4
patch.exe d655566ba4911fc0ff60d197d54dff2c
patch.exe 395b1d4a68f435416cbb69cae0c220c7

video.exe 499db7f0870ce5de80193996179445e5
video.exe c1a3ef240be48fb500167aaedb72bdcf
video.exe 02ed2300a349a0c20c5b15b06130ba1f


A través del seguimiento que realiza sudosecure.net de esta amenaza desde que nació bajo el nombre de Nuwar, podemos observar esta información de manera gráfica.

Del mismo modo, podemos visualizar de manera gráfica mucha información relevante, como por ejemplo las direcciones IP involucradas en la diseminación de Waledac. En este caso, el Top 10 y, teniendo en cuenta que la campaña esta focalizada en el territorio estadounidense (aunque esto no significa que la cantidad de usuarios infectados se limite a EEUU), es lógico creer que la mayor cantidad de infecciones se darán en primera instancia en este país.

Por otro lado, Waledac sigue implementando como técnica de ocultación técnicas Fast-Flux, utilizando diferentes direcciones IP para un mismo dominio.

videoindependence .com
98.211.105.230 > United States
76.106.189.169 > United States
201.213.72.205 > Argentina
201.21.134.78 > Brazil
201.6.212.62 > Brazil
201.212.3.94 > Argentina
69.148.172.231 > United States
99.141.124.192 > United States


video4thjuly .com
72.225.252.27 > United States
71.193.54.175 > United States
84.109.243.13 > Israel
200.108.196.153 > Uruguay
201.241.106.65 > Chile
200.26.178.12 > Paraguay
201.213.101.148 > Argentina
81.97.116.82 > United Kingdom
76.103.252.191 > United States
201.6.229.122 > Brazil
68.56.57.51 > United States
200.112.184.67 > Argentina
67.242.8.170 > United States
82.162.25.19 > Russian Federation
84.253.71.15 > Russian Federation


Waledac ha salido nuevamente de las sombras activando su clásica estrategia de diseminación que seguramente seguirá con su campaña de propagación/infección ampliando su botnet con el reclutamiento de más zombis.

Información relacionada
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

# pistus

Ver más