30 abr 2011

Phishers ofrecen resistencia a los bloqueos

Recibimos un ejemplar de un Malspam el cual descubrimos es de idéntico formato al ya analizado por Sebastián Bortnik en ESET Labs Latinoamérica ayer por la tarde.

Al descubrir la existencia de ese detallado análisis era natural desistir de repetir el análisis. Pero encontramos una diferencia que nos guió a no apresurarnos y revisar un poco que pasaba. Tuvo su recompensa.

El caso del correo malicioso que recibí es idéntico en su aspecto:

El correo es igual pero como se puede apreciar este no tiene un vínculo a bit.ly sino a:

http://xwabc.[ELIMINADO]own.in/opqst?FotoMensagemID=81319676.jpg
(dominio registrado hace 3 días, con datos falsos, de un escritor brasilero)

El cual redirige a:

http://www.down[ELIMINADO].in/? 
(dominio registrado hace 3 días, con datos falsos, de un escritor brasilero)

y a su vez este redirige a:

http://[ELIMINADO].thaieasydns.com/index.php (1)
(conocido de hace más de una año por usos maliciosos)

y de allí redirige al sitio que aloja el malware, un sitio chino abusado:

http://minhuangchinamobile.com/v[ELIMINADO]t/images/File28042011.cpl.

Ese archivo malicioso File28042011.clp fue identificado por VirusTotal por 18 antivirus, y en nuestro ambiente de prueba con Microsoft Security Essentials, como un malware para robo de contraseñas (PWS: PassWordsStealer):
O sea que a diferencia del correo analizado por ESET Latinoamérica este caso es el mismo pero abusando de otro sitio y con otro nombre de archivo para el mismo malware.

Un dato interesante o curioso es que el nombre del archivo contiene la fecha (ddmmaaaa), un signo que indica que es muy probable que los delincuentes estén haciendo esto con motivos de evaluar la efectividad de las variantes en los sitios y redirecciones utilizadas.

Notablemente, luego de un rato vemos que la redirección en el punto (1) cambió, (cambiaron index.php) y redirige ahora a otro sitio abusado:

http://www.ek[ELIMINADO].sk/images/document/File30042011.cpl

Y ahora vemos el archivo malicioso con el nombre actualizado indicando la fecha de hoy.

Las sorpresas no terminan allí. Mientras escribíamos esta nota recibimos otra muestra de otro correo:


Este nuevo engaño tienen el mismo vínculo que el correo que comenzamos analizando y deriva, siguiendo las mismas redirecciones, en la descarga del ultimo archivo File30042011.cpl para robo de contraseñas. Evidencia esta que se trata de los mismos delincuentes.

Un último detalle para señalar es que en los enlaces, todo lo que sigue después del dominio (opqst?cotacao25042011.pdf, y opqst?FotoMensagemID=81319676.jpg) es ignorado pero sirven para reforzar el engaño apoyando el tema de cada correo. Además esos dominios son operados por los delincuentes.

Como conclusión del análisis que realizamos, podemos ver como los phishers intentan sacar el mayor provecho de un mismo malware (probablemente comprado a otro delincuente) y un mismo modelo de correo engañoso, cambiando solo la redirección a los sitios abusador donde alojan el malware.

Desde Segu-Info procedimos a realizar las denuncias correspondientes de los dominios maliciosos registrados.

En este momento los enlaces de los correos aqui analizados son bloqueadas por OpenDNS e identificadas como sitio de phishing. Quien use OpenDNS está protegido sin llegar a que suceda ninguna descarga.

Actualización 1/5/11 12:01pm: La recompensa al análisis y la denuncia no se hizo esperar, recibimos respuesta del registro de los dominios denunciados:
Asunto: [~316614]: Directi Abuse Report Form - [eliminado]FILES.IN
Fecha: Sun, 01 May 2011 20:31:30 +0530
De: Directi Abuse Desk
Responder-a:: [email protected]
A: ...

Hello,
We have suspended the domain [eliminado]FILES.IN
Regards,
Abuse Desk

Ticket Details
===================
Ticket ID: 316614
Department: PublicDomainRegistry Abuse Team
Priority: Low
Status: Closed
Una consulta de ambos dominios informa lo mismo:
Name Server:NS1.SUSPENDED-DOMAIN.COM
Name Server:NS2.SUSPENDED-DOMAIN.COM
Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!