Hay mucha gente que presume de no tener antivirus o no preocuparse de medidas de seguridad más allá del "sentido común".
Ese sentido común que le dice que basta con no entrar en sitios webs
peligrosos, no ejecutar programas o no seguir enlaces en mensajes de
correo electrónico. Eso está bien, pero el sentido común ese sería "on top of", pues ni mucho menos es suficiente con esa medida de protección para vivir al margen del malware.
 |
| Figura 1: Trabajar en el mundo del cibercrimen |
En este ecosistema de
cibercriminales hay desde los que se dedican a las tareas puramente técnicas para crear
bots,
packers, paneles de control de
botnets o
exploits, hasta los que se ocupan de las tareas puras de gestión, como la negociación de compra de nuevos
exploits o la búsqueda de blanqueo de dinero utilizando cualquier sistema, desde
el mulero clásico a los esquemas de
venta de apps fraudulentas en tiendas como la AppStore.
Para que se puedan conseguir muchos clientes infectados hay que buscar
un buen canal de infección, y ir a por víctimas que navegan sin
fortificar el sistemas operativo usando sólo el
"sentido común" o el planteamiento aún más divertido de
"yo no tengo nada que les interese" es una de las ideas más lucrativas en la industria del
e-crime. Por supuesto, los que
se sienten invulnerables porque tienen Mac OS X también son bien recibidos.
Montando la infraestructura
Se comienza consiguiendo controlar servidores web masivamente utilizando
exploits o
bugs conocidos para las tecnologías web. En estos casos se abusa de
bugs de SQL Injection,
RFI,
LFI,
WebShells,
contraseñas por defecto, etcétera, etcétera, que sirven para meter al final un código infectado en las webs legítimas que redigirá tráfico hacia
"el matadero". Esta fase de infección de páginas webs legítimas consigue que usuarios con mucho
"sentido común" queden infectados cuando visitan
páginas como la del servicio postal americano o incluso
la propia web de Apple, que también se vio infectada en alguna de estas.
Para conseguir el mayor número de víctimas es por tanto necesario tener
el mayor número de webs infectadas, para lo que se utilizan equipos
profesionales de personas que se dedican a infectar manualmente páginas
con mucho tráfico o infectar masivamente usando técnicas de
hacking con buscadores y scanners automatizados que usando
dorks para
Google,
Shodan o
Bing les permiten dar con servidores propicios para ser infectados.
 |
| Figura 2: Apple.com infectada con scripts de redirección en la operación Lizamoon |
Si llegado el caso no hay demasiado tráfico de víctimas porque no se han
conseguido infectar muchas webs, siempre queda la opción de hacer una
campaña de
spam enviando enlaces, como se ha hecho
con facturas falsas de Apple.
Si por el contrario, se ha conseguido un nivel de infección que va más
allá del servidor web, entonces los códigos de infección se pueden poner
a nivel de componente del servidor web, como hemos visto con varios
módulos malicioso de Apache que llevaban a kits de explotación.
Infectando a los clientes
Una vez se ha conseguido controlar el contenido de las páginas web que
recibirán los visitantes, se conseguirá poder lanzar la ejecución de exploit para el navegador del cliente. Estos exploits
son seleccionados dependiendo de la versión del navegador que esté
entregando el cliente. Si resulta que el visitante ocasional ha llegado
al matadero con una versión vulnerable de un navegador de Internet para la que el kit de exploits cuenta con el exploit adecuado, entonces tendremos una infección silenciosa con el malware apropiado. Si no, siempre se pueden usar técnicas de ingeniería social.
 |
| Figura 3: Fondos anunciados en Darkode para comprar exploits de 0day |
Por supuesto, también es necesario contar con buenos
exploits, y estos
se pueden desarrollar si tienes buenos profesionales,
se pueden adaptar porque alguien ha publicado información suficiente para ello o se pueden comprar. En el fantástico
blog de Krebs On Security se cuenta como en uno de los foros del cibercrimen se estaban ofreciendo hasta
450.000 USD para comprar
exploits de tipo
0day con el objetivo de conseguir más infraestructura de servidor y más
exploits para mejorar las infecciones de los clientes. Estos precios no son tantos si nos atenemos a lo que dijo el
New York Times, donde se hablaba de que
un 0day para iOS se había pagado a 500.000 USD.
Para manejar todo esto se usan los
kits de exploits, donde han proliferado muchos a lo largo del tiempo que han ido naciendo y muriendo.
Eleonore,
Phoenix, Sweet Orange o el famosísimo
BlackHole han sido muy utilizados a lo largo del tiempo.
 |
| Figura 4: Captura de un panel de BlackHole v.1.0.0 |
Una vez conseguida la ejecución del programa en el equipo de la víctima,
entran otros profesionales del mundo del cibercrimen, como son los que
desarrollan los
packers y
bots para ser indetectables a sistemas antimalware, además de hacerlos
resistentes a las guerras de bandas que hay entre los bots para defenderse unos de otros. Aquí se encuentra por encima de todos el famoso
Zeus y sus evoluciones creadas a partir de la liberación de su código fuente, como el famoso
Citadel.
La detención de "Paunch"
El creador de BlackHole es Paunch, un ruso de 27 años que consiguió generar con ese modelo unos 2.3 millones de USD en unos tres años y tenía un salario de unos 50.000 USD al mes, según cuentan las autoridades rusas que lo detuvieron durante el mes de Octubre de este año.
 |
| Figura 5: Paunch, creador de BlackHole, detenido junto con su Porsche |
Tras la caída del creador de
BlackHole parece que hay un vacío, pero no tardará en llenarse rápidamente ya que
existe un negocio en este área demasiado llamativo como para que nadie quiera venir a llenarlo. Los
kits de exploits
llegaron para quedarse y aunque ahora se exhiba a su creador detenido,
hay demasiada gente dispuesta a pagar por tener un sistema automatizado
de infección de clientes como para que nadie ofrezca ese servicio, y si
no, los propios creadores de los paneles de control de las
botnets se ocuparán de financiar estos proyectos.
Fuente http://www.elladodelmal.com
De Chema Alonso
