18 marzo, 2007

Spyware de 20 dólares

Hace casi un año que se dio o conocer sobre un kit ruso para producir spyware. El kit parece estar creciendo en popularidad en Latino América. Esto se debe en parte a la creciente cooperación que estamos viendo entre hackers Rusos y Brasileños.

El kit conocido como WebAttacker está disponible en un sitio Ruso por 20 dólares el upgrade y por 300 la versión completa incluyendo soporte técnico, la cuál al parecer la han actualizado continuamente, por lo menos en agosto del año pasado y después en noviembre añadiendo funcionalidad. En general el kit permite hacer troyanos que explotan vulnerabilidades conocidas y de las cuales ya hay parches disponibles, pero que en muchas empresas no han sido tapadas (no tienen activada las actualizaciones automáticas). También permite mandar spam con títulos y contenido de noticias falsas con la finalidad de que los usuarios visiten un sitio para leerlas y ahí sean infectados.

Los sitios web contienen un iframe escondido que cargan el archivo go.php que redirige la página a ie0609.cgi?homepage que a su vez redirige a demo.php donde a través de un javascript escoge el exploit correcto y manda el parámetro correcto al cgi que regresa un binario con el malware a ser ejecutado.

La cooperación entre rusos y brasileños aunque inicialmente empezó con herramientas como esta, al parecer ha incrementado creando troyanos que roban la información bancaria, en general la idea es la misma, mandan un e-mail con una carta del banco de agradecimiento o felicitaciones haciendo que el usuario haga click en el link contenido enviándolos a páginas que se parecen a las del banco pero hospedadas en sitios como Geocities, donde ejecutan los scripts.

Si les interesa saber a detalle como funciona el cgi de Web-Attacker pueden visitar el blog de los security labs de Websense.

Como siempre, actualicen sus máquinas constantemente, duden de cualquier email recibido y verifiquen que la dirección que aparece en la barra del navegador es la correcta. Dején sus experiencias, comentarios y opiniones como siempre.


No hay comentarios.: