[NEWS] Capire RBN: dal virus Zlob ai siti di affiliazione per falsi antivirus

c.m.g · 20-05-2008, 10:27

giovedì 15 maggio 2008

Questa volta partiremo dal tentativo di trovare questo blog utilizzando un motore di ricerca per mostrare tutta una serie
minacce e pratiche illecite dei cybercriminali di RBN (russian business network) e per cercare mettere in evidenza la gigantesca organizzazione che c'è dietro.
Supponiamo quindi di inserire su alcuni search engine (yahoo, live , clusty) la parola "maipiugromozon".
Come potete vedere nell'immagine qui sotto sono mostrate alcune pagine civetta costruite ad arte per infettare molto probabilmente su hosting gratuito. Ho scelto clusty per praticita', ma sono presenti anche su yahoo e live(msn)

Proviamo a visitare una di queste e veniamo subito reindirizzati, dopo un passaggio su lineacount.info che si trova sull'arcinoto range spazzatura ucraino 85.255.112.0 - 85.255.127.255 UkrTeleGroup,

su italianpornovideos.com [da non visitare assolutamente]

ospitato su un altro notissimo range spazzatura ad honk kong 58.65.232.0 - 58.65.239.255 HOSTFRESH sempre di RBN

lineacount.info invidua la nazionalita' dell'ip del malcapitato e manda su una pagina che sostanzialmente obbliga a scaricare un falso codec video (virus Zlob)

Una cosa interessante è che nel sito pensato per i navigatori del bel paese , a differenza delle versione "internazionale", sono presenti 2 iframe malevoli.
Si tratta, quindi, di attacchi e malware specifici per il traffico italiano, che è stato sempre molto appetibile per RBN, probabilmente per via dei dialer.

Nel caso di visitatori che non provengono dal nostro paese lineacount.info dirotta, come gia' accennato, o su una pagina con falsi codec video senza iframe oppure verso un sito che mostra una scansione del pc del tutto fasulla al fine di farci scaricare un programma antivirus truffa.

Diamo un'occhiata ai domini (che in genere vengono cambiati spesso):

gli iframe puntano a:

1)adultxx-18.com 72.21.53.218 Layered Technologies inc.
societa' americana che viene spesso utilizzata da RBN per ospitare malware e siti relativi ad altre attivita'
illecite.

[nota] spesso i criminali di RBN usano server di Layered Technologies Inc, Theplanet e Everyones Internet, tutti hoster negli USA

2) my-istat.cc 203.186.128.153 ma anche qui non so dirvi se si tratta di un server RBN o semplicemente utilizzato da
RBN

Ovviamente questi 2 server sono pieni zeppi di exploit.

Il falso codec video invece si trova su
vm-codec2008.com 217.170.77.150 e questo dovrebbe appartenere ad un range malevolo: TimeWeb (217.170.77.0 - 217.170.77.255) in Russia

Tutti i domini sono registrati tramite la famigerata ESTDOMAINS, INC

A questo punto proviamo a fare un'analisi di Zlob. Inutile dire che non viene praticamente mai intercettato dagli antivirus perchè il file viene cambiato con una frequenza continua.
Ma non si tratta solo di una ricodifica dello stesso file.
Vengono modificati anche i server da cui il zlob fa scaricare ulteriori malware.

Qui sotto ho messo una serie di link relativi all'analisi con la sandbox di sunbelt di varie versioni di Zlob.
La cosa interessante è vedere la grande quantita' di server coinvolti.

ANALISI con la sandbox di varie versioni di Zlob:

https://cwsandbox.org/?page=samdet&i...password=znbuu
https://cwsandbox.org/?page=samdet&i...password=igxwa
https://cwsandbox.org/?page=samdet&i...password=sazer
https://cwsandbox.org/?page=samdet&i...password=xocfv
https://cwsandbox.org/?page=samdet&i...password=cxxuh
https://cwsandbox.org/?page=samdet&i...password=rbvjw
https://cwsandbox.org/?page=samdet&i...password=gcjod
https://cwsandbox.org/?page=samdet&i...password=qdxkz

Nell'ultima versione

Una curiosita' riguarda il fatto che in una versione il virus apre una connessione verso il vero server di microsoft - windowsupdate, probabilmente, ma si tratta di una supposizione, per indurre il malcapitato a scaricare attraverso uno stratagemma un falso aggiornamento.

Beyond The Network America 63.216.0.0 - 63.223.255.255 Usa

è molto interessante perche' in questo range sono presenti server spia di emule e per falsi tracker per bit-torrent.
E' fortemente consigliato bloccare sia i range di Beyond The Network America sia i seguenti:

Cernel 64.28.176.0 - 64.28.191.255 USA
InterCage, Inc. 69.50.160.0 - 69.50.191.255 USA
WEBALTA 77.91.228.180 - 77.91.228.189 Russia
Buildhouse Ltd. 195.93.218.0 - 195.93.219.255 Russia

Ma questa è solo una minima parte dei server che possono essere associati al fenomeno criminale RBN.
Molti altri li potete trovare nella blacklist di questo sito.

Prediamo ora un server a cui si collega una versione del malware ed in particolare 216.240.138.207

Qui sono presenti siti di falsi programmi ed anche un sito di affiliazione per diffondere quel tipo di spazzatura (ovviamente le scritte sono in cirillico)

easyspywarecleaner.com
infestop.com
winifixer.com
spy-rid.com
Advancedxpdefender.com
I-kerberos.com
ecc.

sempre su quel server possiamo trovare un falso sito porno stile youtube

youpornztube.com

E investigando un po' si puo' arrivare a delle pagine ormai offline che facevano promozione di alcuni siti riconducibili sempre alla cybercriminalita' organizzata come klikrevenue , coolwebsearch , umaxlogin legati a spyware, vendita di falsi medicinali , truffe finanziarie ecc.

Per concludere RBN sostanzialmente usa 2 differenti strategie di attacco per infettare il vostro pc:

1) La prima si basa su astute tecniche di ingegneria sociale per ingannavi e farvi installare software:

principalmente Falsi codec video
o programmi truffa, in particolar modo Falsi (rogue) antivirus.

2) la seconda riguarda hack di siti legittimi, magari ad alto traffico con l'inserimento di iframe e/o javascript offuscati che attraverso exploit installano malware automaticamente

Oppure la attraverso la creazione di siti civetta, sempre con iframe e/o javascript offuscati, ben posizionati sui motori attraverso tecniche di SEO- (esempio: siti con migliaia di keyword tra le piu' utilizzate sul web)

Pubblicato da maverick

Fonte: Maipiugromozon blog by Maverick alias Mausap

20-05-2008, 10:27	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Capire RBN: dal virus Zlob ai siti di affiliazione per falsi antivirus giovedì 15 maggio 2008 Questa volta partiremo dal tentativo di trovare questo blog utilizzando un motore di ricerca per mostrare tutta una serie minacce e pratiche illecite dei cybercriminali di RBN (russian business network) e per cercare mettere in evidenza la gigantesca organizzazione che c'è dietro. Supponiamo quindi di inserire su alcuni search engine (yahoo, live , clusty) la parola "maipiugromozon". Come potete vedere nell'immagine qui sotto sono mostrate alcune pagine civetta costruite ad arte per infettare molto probabilmente su hosting gratuito. Ho scelto clusty per praticita', ma sono presenti anche su yahoo e live(msn) Proviamo a visitare una di queste e veniamo subito reindirizzati, dopo un passaggio su lineacount.info che si trova sull'arcinoto range spazzatura ucraino 85.255.112.0 - 85.255.127.255 UkrTeleGroup, su italianpornovideos.com [da non visitare assolutamente] ospitato su un altro notissimo range spazzatura ad honk kong 58.65.232.0 - 58.65.239.255 HOSTFRESH sempre di RBN lineacount.info invidua la nazionalita' dell'ip del malcapitato e manda su una pagina che sostanzialmente obbliga a scaricare un falso codec video (virus Zlob) Una cosa interessante è che nel sito pensato per i navigatori del bel paese , a differenza delle versione "internazionale", sono presenti 2 iframe malevoli. Si tratta, quindi, di attacchi e malware specifici per il traffico italiano, che è stato sempre molto appetibile per RBN, probabilmente per via dei dialer. Nel caso di visitatori che non provengono dal nostro paese lineacount.info dirotta, come gia' accennato, o su una pagina con falsi codec video senza iframe oppure verso un sito che mostra una scansione del pc del tutto fasulla al fine di farci scaricare un programma antivirus truffa. Diamo un'occhiata ai domini (che in genere vengono cambiati spesso): gli iframe puntano a: 1)adultxx-18.com 72.21.53.218 Layered Technologies inc. societa' americana che viene spesso utilizzata da RBN per ospitare malware e siti relativi ad altre attivita' illecite. [nota] spesso i criminali di RBN usano server di Layered Technologies Inc, Theplanet e Everyones Internet, tutti hoster negli USA 2) my-istat.cc 203.186.128.153 ma anche qui non so dirvi se si tratta di un server RBN o semplicemente utilizzato da RBN Ovviamente questi 2 server sono pieni zeppi di exploit. Il falso codec video invece si trova su vm-codec2008.com 217.170.77.150 e questo dovrebbe appartenere ad un range malevolo: TimeWeb (217.170.77.0 - 217.170.77.255) in Russia Tutti i domini sono registrati tramite la famigerata ESTDOMAINS, INC A questo punto proviamo a fare un'analisi di Zlob. Inutile dire che non viene praticamente mai intercettato dagli antivirus perchè il file viene cambiato con una frequenza continua. Ma non si tratta solo di una ricodifica dello stesso file. Vengono modificati anche i server da cui il zlob fa scaricare ulteriori malware. Qui sotto ho messo una serie di link relativi all'analisi con la sandbox di sunbelt di varie versioni di Zlob. La cosa interessante è vedere la grande quantita' di server coinvolti. ANALISI con la sandbox di varie versioni di Zlob: https://cwsandbox.org/?page=samdet&i...password=znbuu https://cwsandbox.org/?page=samdet&i...password=igxwa https://cwsandbox.org/?page=samdet&i...password=sazer https://cwsandbox.org/?page=samdet&i...password=xocfv https://cwsandbox.org/?page=samdet&i...password=cxxuh https://cwsandbox.org/?page=samdet&i...password=rbvjw https://cwsandbox.org/?page=samdet&i...password=gcjod https://cwsandbox.org/?page=samdet&i...password=qdxkz Nell'ultima versione Una curiosita' riguarda il fatto che in una versione il virus apre una connessione verso il vero server di microsoft - windowsupdate, probabilmente, ma si tratta di una supposizione, per indurre il malcapitato a scaricare attraverso uno stratagemma un falso aggiornamento. Beyond The Network America 63.216.0.0 - 63.223.255.255 Usa è molto interessante perche' in questo range sono presenti server spia di emule e per falsi tracker per bit-torrent. E' fortemente consigliato bloccare sia i range di Beyond The Network America sia i seguenti: Cernel 64.28.176.0 - 64.28.191.255 USA InterCage, Inc. 69.50.160.0 - 69.50.191.255 USA WEBALTA 77.91.228.180 - 77.91.228.189 Russia Buildhouse Ltd. 195.93.218.0 - 195.93.219.255 Russia Ma questa è solo una minima parte dei server che possono essere associati al fenomeno criminale RBN. Molti altri li potete trovare nella blacklist di questo sito. Prediamo ora un server a cui si collega una versione del malware ed in particolare 216.240.138.207 Qui sono presenti siti di falsi programmi ed anche un sito di affiliazione per diffondere quel tipo di spazzatura (ovviamente le scritte sono in cirillico) easyspywarecleaner.com infestop.com winifixer.com spy-rid.com Advancedxpdefender.com I-kerberos.com ecc. sempre su quel server possiamo trovare un falso sito porno stile youtube youpornztube.com E investigando un po' si puo' arrivare a delle pagine ormai offline che facevano promozione di alcuni siti riconducibili sempre alla cybercriminalita' organizzata come klikrevenue , coolwebsearch , umaxlogin legati a spyware, vendita di falsi medicinali , truffe finanziarie ecc. Per concludere RBN sostanzialmente usa 2 differenti strategie di attacco per infettare il vostro pc: 1) La prima si basa su astute tecniche di ingegneria sociale per ingannavi e farvi installare software: principalmente Falsi codec video o programmi truffa, in particolar modo Falsi (rogue) antivirus. 2) la seconda riguarda hack di siti legittimi, magari ad alto traffico con l'inserimento di iframe e/o javascript offuscati che attraverso exploit installano malware automaticamente Oppure la attraverso la creazione di siti civetta, sempre con iframe e/o javascript offuscati, ben posizionati sui motori attraverso tecniche di SEO- (esempio: siti con migliaia di keyword tra le piu' utilizzate sul web) Pubblicato da maverick Fonte: Maipiugromozon blog by Maverick alias Mausap __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email