[NEWS] Waledac botnet cambia tema

Edgar Bangkok · 23-02-2009, 02:28

lunedì 23 febbraio 2009

Ricordo come sempre che i domini elencati nel report sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file.

Dopo San Valentino (con pagina Waledac in tema) era prevedibile che la pagina distribuita ed il relativo file eseguibile malware venissero ulteriormente modificati da chi gestisce la botnet

Per chi non fosse ancora a conoscenza di Waledac botnet ricordo che si tratta di una rete di computer compromessi attraverso l'esecuzione di files eseguibili scaricati sul pc attraverso links presenti su mails di spam di vario genere.
Le mails puntano a pagine web , gestite dalla botnet, ossia dai computers gia' compromessi che ne fanno parte.
In pratica la botnet si sostiene e si espande attraverso il continuo aggiornamento dei pc che ne fanno parte, a seguito di utenti internet che, scaricando ed eseguendo il file malware presente nelle pagine visitate, trasformano il loro pc in una macchina della rete Waledac.

La stessa botnet puo' essere utilizzata anche per scopi diversi da quello visto come ad esempio eseguire campagne di spam sfruttando il supporto del grande numero di computers compromessi.

Ecco la nuova pagina visualizzata, da poche ore, caricando un indirizzo Waledac tra quelli attivi:

Si tratta, come vediamo, di un clone di un reale sito Usa di cui vediamo la homepage e precisamente www.couponizer.com

che tratta offerte commerciali e sconti sugli acquisti tramite 'coupons' ossia tagliandi di sconto che, il falso sito Waledac propone di scaricare e stampare per far eseguire il file malware linkato.

C'e' da dire che il 'comportamento' di Waledac ricorda molto da vicino quello della nota ed ormai inattiva botnet Storm Worm, che molto spesso cercava di sfruttare cloni di reali pagine web per ingannare il visitatore.

Inoltre , in un periodo di crisi finanziaria generalizzato, un sito di sconti e offerte commerciali potrebbe essere un tema che riesce a generare attenzione da chi riceve la falsa mail, che potremmo definire di phishing, e che punta alla pagina del falso sito.

A svantaggio di una diffusione su scala mondiale c'e' invece il tema trattato, che, a parte rivolgersi a utenti internet di lingua inglese, vede un'offerta' orientata a chi vive in Usa e non in altre nazioni, cosa che potrebbe limitare la riuscita della campagna di spam e distribuzione malware ai soli utenti internet degli States.

Vediamo qualche dettaglio sulla nuova pagina:

Questo il codice sorgente
(img sul blog)
dove si nota che la pagina e' praticamente costituita solo da immagini jpg che presentano tutte links a file eseguibile
Come succedeva gia' con la pagina di San Valentino, anche in questo caso, ogni circa 2 minuti, un reload anche della medesima pagina propone differenti nomi di file eseguibile.

Una analisi VT dimostra, come sempre, il basso riconoscimento, per una scansione online, del malware Waledac
anche se la percentuale di riconoscimenti varia costantemente a seconda della tempestivita' degli aggiornamenti sia da parte di chi gestisce la botnet del codice malware che dei softwares antivirus.
(img sul blog)

Nella pagina esiste sempre un iframe, come gia' visto in precedenza,
(img sul blog)
che punta a sito con links a pagina in lingua russa ed inglese e che sembrerebbe proporre vari software di analisi e statistiche traffico internet.
Questi links erano gia' presenti in passato su iframe contenuto in pagine Waledac di false e-cards di San Valentino.

Un breve report sulla distribuzione attuale degli IP dei computers compromessi mostra sempre ai primi posti le medesime nazioni viste nelle ultime settimane
(img sul blog)
Vedremo ora se la diffusione dello spam collegato alla nuova pagina sara orientato a utenze Usa o se anche altre nazioni verranno coinvolte nel tentativo di ampliare ancora l'estensione della botnet Waledac.

Edgar

fonte: http://edetools.blogspot.com/2009/02...mbia-tema.html

Edgar Bangkok · 24-02-2009, 03:31

martedì 24 febbraio 2009

Ricordo come sempre che i domini elencati nel post sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file.

MCAfee blog riporta, al riguardo della nuova pagina Waledac, alcune novita'

Il testo visualizzato sarebbe adesso infatti modificato ad ogni caricamento della pagina in maniera da localizzare le offerte a seconda della provenienza geografica del visitatore.
In pratica, dall'esempio presentato sul blog, il testo conterrebbe nomi di citta' che cambiano per differenti IP di provenienza.

Questo potrebbe significare che si cerca di allargare l'interesse per il falso sito 'couponizer' al di fuori del territorio USA presentando offerte commerciali 'personalizzate' a seconda della nazione di provenienza del visitatore della pagina.

Nello stesso articolo MCAfee avverte anche della presenza di un Iframe che conterrebbe exploit pericoloso.

Al momento di scrivere il post, caricando alcune pagine Waledac la geo localizzazione non sembrava essere attiva ed anche non era possibile rilevare la presenza di un exploit collegato all'iframe contenuto nella pagina.

E' interessante notare che sono stati creati nuovi nomi di dominio che richiamano l'argomento trattato dalla nuova pagina e cioe' la distribuzione dei 'coupons' di sconti e delle offerte commerciali

Codice:

yourcountycoupon(dot)com
thecoupondiscount(dot)com
supersalesonline(dot)com
smartsalesgroup(dot)com
greatsalestax(dot)com
greatsalesgroup(dot)com
greatsalesavailable(dot)com
greatcouponclub(dot)com
codecouponsite(dot)com

Una verifica con VT dimostra sempre un basso riconoscimento del file malware
(img sul blog)

Edgar

fonte: http://edetools.blogspot.com/2009/02...otnet-242.html

Blog McAfee : http://www.avertlabs.com/research/bl...onomic-crisis/

Edgar Bangkok · 24-02-2009, 04:19

martedì 24 febbraio 2009

Una ulteriore verifica sulle pagine Waledac a finalmente permesso di rilevare la presenza della geo localizzazione del testo

Ecco alcuni esempi

forzando un IP 'italiano' attraverso l'uso di Portable Tor configurando gli ExitNodes relativi all'Italia

Un altro esempio con IP 'italiano'

e questo con IP 'tedesco'
(img sul blog)

La spiegazione del precedente risultato nullo, consiste nel fatto che richiamando direttamente il dominio senza aggiungere alla url anche il riferimento al codice php es. yourcountycoupon(dot)com la pagina vene si' caricata ma senza la presenza nel testo del riferimento geografico di chi la visita

Nelle mails di spam che puntano a Waledac risulta presente un indirizzo comprensivo di riferimento a codice php (sales.php, salelist.php.......) e quindi al momento del caricamento della pagina yourcountycoupon(dot)com/sales.php avremo la personalizzazione del testo.

Sicuramente con questo espediente e' piu' probabile che chi ricevera' la mail di spam possa essere tentato a scaricare il file eseguibile incuriosito dal fatto che anche 'dalle sue parti' esistono queste offerte 'speciali'

Edgar

fonte: http://edetools.blogspot.com/2009/02...ne-pagina.html

23-02-2009, 02:28	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Waledac botnet cambia tema lunedì 23 febbraio 2009 Ricordo come sempre che i domini elencati nel report sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file. Dopo San Valentino (con pagina Waledac in tema) era prevedibile che la pagina distribuita ed il relativo file eseguibile malware venissero ulteriormente modificati da chi gestisce la botnet Per chi non fosse ancora a conoscenza di Waledac botnet ricordo che si tratta di una rete di computer compromessi attraverso l'esecuzione di files eseguibili scaricati sul pc attraverso links presenti su mails di spam di vario genere. Le mails puntano a pagine web , gestite dalla botnet, ossia dai computers gia' compromessi che ne fanno parte. In pratica la botnet si sostiene e si espande attraverso il continuo aggiornamento dei pc che ne fanno parte, a seguito di utenti internet che, scaricando ed eseguendo il file malware presente nelle pagine visitate, trasformano il loro pc in una macchina della rete Waledac. La stessa botnet puo' essere utilizzata anche per scopi diversi da quello visto come ad esempio eseguire campagne di spam sfruttando il supporto del grande numero di computers compromessi. Ecco la nuova pagina visualizzata, da poche ore, caricando un indirizzo Waledac tra quelli attivi: Si tratta, come vediamo, di un clone di un reale sito Usa di cui vediamo la homepage e precisamente www.couponizer.com che tratta offerte commerciali e sconti sugli acquisti tramite 'coupons' ossia tagliandi di sconto che, il falso sito Waledac propone di scaricare e stampare per far eseguire il file malware linkato. C'e' da dire che il 'comportamento' di Waledac ricorda molto da vicino quello della nota ed ormai inattiva botnet Storm Worm, che molto spesso cercava di sfruttare cloni di reali pagine web per ingannare il visitatore. Inoltre , in un periodo di crisi finanziaria generalizzato, un sito di sconti e offerte commerciali potrebbe essere un tema che riesce a generare attenzione da chi riceve la falsa mail, che potremmo definire di phishing, e che punta alla pagina del falso sito. A svantaggio di una diffusione su scala mondiale c'e' invece il tema trattato, che, a parte rivolgersi a utenti internet di lingua inglese, vede un'offerta' orientata a chi vive in Usa e non in altre nazioni, cosa che potrebbe limitare la riuscita della campagna di spam e distribuzione malware ai soli utenti internet degli States. Vediamo qualche dettaglio sulla nuova pagina: Questo il codice sorgente (img sul blog) dove si nota che la pagina e' praticamente costituita solo da immagini jpg che presentano tutte links a file eseguibile Come succedeva gia' con la pagina di San Valentino, anche in questo caso, ogni circa 2 minuti, un reload anche della medesima pagina propone differenti nomi di file eseguibile. Una analisi VT dimostra, come sempre, il basso riconoscimento, per una scansione online, del malware Waledac anche se la percentuale di riconoscimenti varia costantemente a seconda della tempestivita' degli aggiornamenti sia da parte di chi gestisce la botnet del codice malware che dei softwares antivirus. (img sul blog) Nella pagina esiste sempre un iframe, come gia' visto in precedenza, (img sul blog) che punta a sito con links a pagina in lingua russa ed inglese e che sembrerebbe proporre vari software di analisi e statistiche traffico internet. Questi links erano gia' presenti in passato su iframe contenuto in pagine Waledac di false e-cards di San Valentino. Un breve report sulla distribuzione attuale degli IP dei computers compromessi mostra sempre ai primi posti le medesime nazioni viste nelle ultime settimane (img sul blog) Vedremo ora se la diffusione dello spam collegato alla nuova pagina sara orientato a utenze Usa o se anche altre nazioni verranno coinvolte nel tentativo di ampliare ancora l'estensione della botnet Waledac. Edgar fonte: http://edetools.blogspot.com/2009/02...mbia-tema.html __________________ http://edetools.blogspot.com/

24-02-2009, 03:31	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Aggiornamento Waledac botnet 24/2 martedì 24 febbraio 2009 Ricordo come sempre che i domini elencati nel post sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file. MCAfee blog riporta, al riguardo della nuova pagina Waledac, alcune novita' Il testo visualizzato sarebbe adesso infatti modificato ad ogni caricamento della pagina in maniera da localizzare le offerte a seconda della provenienza geografica del visitatore. In pratica, dall'esempio presentato sul blog, il testo conterrebbe nomi di citta' che cambiano per differenti IP di provenienza. Questo potrebbe significare che si cerca di allargare l'interesse per il falso sito 'couponizer' al di fuori del territorio USA presentando offerte commerciali 'personalizzate' a seconda della nazione di provenienza del visitatore della pagina. Nello stesso articolo MCAfee avverte anche della presenza di un Iframe che conterrebbe exploit pericoloso. Al momento di scrivere il post, caricando alcune pagine Waledac la geo localizzazione non sembrava essere attiva ed anche non era possibile rilevare la presenza di un exploit collegato all'iframe contenuto nella pagina. E' interessante notare che sono stati creati nuovi nomi di dominio che richiamano l'argomento trattato dalla nuova pagina e cioe' la distribuzione dei 'coupons' di sconti e delle offerte commerciali Codice: yourcountycoupon(dot)com thecoupondiscount(dot)com supersalesonline(dot)com smartsalesgroup(dot)com greatsalestax(dot)com greatsalesgroup(dot)com greatsalesavailable(dot)com greatcouponclub(dot)com codecouponsite(dot)com Una verifica con VT dimostra sempre un basso riconoscimento del file malware (img sul blog) *Edgar* fonte: http://edetools.blogspot.com/2009/02...otnet-242.html Blog McAfee : http://www.avertlabs.com/research/bl...onomic-crisis/ __________________ http://edetools.blogspot.com/

24-02-2009, 04:19	#3
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Aggiornamento geo localizzazione pagina Waledac Botnet 24/2 martedì 24 febbraio 2009 Una ulteriore verifica sulle pagine Waledac a finalmente permesso di rilevare la presenza della geo localizzazione del testo Ecco alcuni esempi forzando un IP 'italiano' attraverso l'uso di Portable Tor configurando gli ExitNodes relativi all'Italia Un altro esempio con IP 'italiano' e questo con IP 'tedesco' (img sul blog) La spiegazione del precedente risultato nullo, consiste nel fatto che richiamando direttamente il dominio senza aggiungere alla url anche il riferimento al codice php es. yourcountycoupon(dot)com la pagina vene si' caricata ma senza la presenza nel testo del riferimento geografico di chi la visita Nelle mails di spam che puntano a Waledac risulta presente un indirizzo comprensivo di riferimento a codice php (sales.php, salelist.php.......) e quindi al momento del caricamento della pagina yourcountycoupon(dot)com/sales.php avremo la personalizzazione del testo. Sicuramente con questo espediente e' piu' probabile che chi ricevera' la mail di spam possa essere tentato a scaricare il file eseguibile incuriosito dal fatto che anche 'dalle sue parti' esistono queste offerte 'speciali' Edgar fonte: http://edetools.blogspot.com/2009/02...ne-pagina.html __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 24-02-2009 alle 04:25.

Strumenti
Mostra una versione stampabile Invia questa pagina per email