Página de TELLA simula ser una descarga de Adobe Shockwave instala adware

28/06/2007 - 21:20 por Tella el \sacamantecas\ | Informe spam
A través del SANS hemos conocido una curiosa página que simula ser la web
oficial de descarga de Shockwave de Adobe Macromedia. La página enlaza con
un ejecutable que intenta hacerse pasar por el paquete oficial de Adobe.
Sólo dos sistemas antivirus consiguen reconocer la muestra como lo que en
realidad es, un adware.
La infección no es automática. La ingeniería social que utilizan es la
siguiente. Han comprado un dominio (.net) que apunta a una empresa de
hosting gratuito, donde finalmente se aloja la página. Se trata de una web
de juegos ambientados en la Edad Media. En esta página, se simulan
presentaciones en Flash que no funcionan. Todos los enlaces (supuestamente
rotos) apuntan a una página con esta URL (ofuscada):

hxxp://XXXXX.XXXXspace.com/runescap...error.html

Esta página muestra un mensaje:

Your version of Macromedia Flash Player needs to be updated. Click Here que
lleva a:

hxxp://XXXXX.XXXXspace.com/runescap...nload.html

Que simula (con bastante acierto) ser la web oficial de descarga de Adobe
(Shockwave Player Download Center). Algunos "errores" que han cometido los
atacantes a la hora de copiar la original es que muestra una versión
anterior, pero solo una comparación con la web original actual puede hacer
que el usuario se percate de esta diferencia. Curiosamente, a través de
JavaScript, han desactivado el uso del botón derecho en Internet Explorer.
Finalmente el malware es descargado (si el usuario lo consiente) desde:

hxxp://xx.xxxxay.com/flashv10/Shock...r_Slim.exe

Una de las características más llamativas de esta muestra es el nivel de
detección. A fecha de 22 de junio, sólo dos antivirus lo reconocen, uno de
ellos con firma genérica: ClamAV como Trojan.Pakes-248 y Webwasher-Gateway
como Trojan.Bifrose.NU. Curiosa (y escasa) combinación de motores que son
capaces de detectarlo.

Un primer análisis esquemático del malware, demuestra que simula incluso
con bastante buen hacer el proceso de instalación del Shockwave real.
Instala una dll falsa en C:\shockwave y en ese momento, se pone en contacto
con adpopup.hopto.org para mostrar insistentemente publicidad no solicitada
en el sistema.

Para prevenir el problema, aparte de las advertencias habituales, conviene
fijarse bien el la URL de la dirección de descarga de este componente y
utilizar servicios como VirusTotal.com. Si bien no ofrece garantías
absolutas, puede hacer sospechar sobre el archivo. En este caso además,
como dato curioso, advertir que Adobe Macromedia firma digitalmente sus
archivos, con lo que se puede comprobar simplemente pulsando con el botón
derecho sobre el instalador original, que está firmado y que la firma
realmente pertenece a Adobe (lo certifica VeriSign). Esto garantiza su
origen y que desde que fue creado, el fichero no ha sido modificado. Si
bien no todas las compañías firman sus archivos, es conveniente siempre
comprobarlo antes de usarlos en el sistema y aprovechar las garantías que
ofrecen las que se toman la molestia de hacerlo.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3163/comentar

Más Información:

Fake Adobe Shockwave Player download page
http://isc.sans.org/diary.php?storyid024



Sergio de los Santos
http://www.hispasec.com/unaaldia/3163
 

Leer las respuestas

#1 Leandro Páez
29/06/2007 - 02:28 | Informe spam
Y qué te hace pensar que es de Tella?
Tampoco me lo banco pero no creo que sea TAN mala leche

"Tella el "sacamantecas"" escribió en el mensaje
news:f611sg$hso$
A través del SANS hemos conocido una curiosa página que simula ser la web
oficial de descarga de Shockwave de Adobe Macromedia. La página enlaza con
un ejecutable que intenta hacerse pasar por el paquete oficial de Adobe.
Sólo dos sistemas antivirus consiguen reconocer la muestra como lo que en
realidad es, un adware.
La infección no es automática. La ingeniería social que utilizan es la
siguiente. Han comprado un dominio (.net) que apunta a una empresa de
hosting gratuito, donde finalmente se aloja la página. Se trata de una web
de juegos ambientados en la Edad Media. En esta página, se simulan
presentaciones en Flash que no funcionan. Todos los enlaces (supuestamente
rotos) apuntan a una página con esta URL (ofuscada):

hxxp://XXXXX.XXXXspace.com/runescap...error.html

Esta página muestra un mensaje:

Your version of Macromedia Flash Player needs to be updated. Click Here
que
lleva a:

hxxp://XXXXX.XXXXspace.com/runescap...nload.html

Que simula (con bastante acierto) ser la web oficial de descarga de Adobe
(Shockwave Player Download Center). Algunos "errores" que han cometido los
atacantes a la hora de copiar la original es que muestra una versión
anterior, pero solo una comparación con la web original actual puede hacer
que el usuario se percate de esta diferencia. Curiosamente, a través de
JavaScript, han desactivado el uso del botón derecho en Internet Explorer.
Finalmente el malware es descargado (si el usuario lo consiente) desde:

hxxp://xx.xxxxay.com/flashv10/Shock...r_Slim.exe

Una de las características más llamativas de esta muestra es el nivel de
detección. A fecha de 22 de junio, sólo dos antivirus lo reconocen, uno de
ellos con firma genérica: ClamAV como Trojan.Pakes-248 y Webwasher-Gateway
como Trojan.Bifrose.NU. Curiosa (y escasa) combinación de motores que son
capaces de detectarlo.

Un primer análisis esquemático del malware, demuestra que simula incluso
con bastante buen hacer el proceso de instalación del Shockwave real.
Instala una dll falsa en C:\shockwave y en ese momento, se pone en
contacto
con adpopup.hopto.org para mostrar insistentemente publicidad no
solicitada
en el sistema.

Para prevenir el problema, aparte de las advertencias habituales, conviene
fijarse bien el la URL de la dirección de descarga de este componente y
utilizar servicios como VirusTotal.com. Si bien no ofrece garantías
absolutas, puede hacer sospechar sobre el archivo. En este caso además,
como dato curioso, advertir que Adobe Macromedia firma digitalmente sus
archivos, con lo que se puede comprobar simplemente pulsando con el botón
derecho sobre el instalador original, que está firmado y que la firma
realmente pertenece a Adobe (lo certifica VeriSign). Esto garantiza su
origen y que desde que fue creado, el fichero no ha sido modificado. Si
bien no todas las compañías firman sus archivos, es conveniente siempre
comprobarlo antes de usarlos en el sistema y aprovechar las garantías que
ofrecen las que se toman la molestia de hacerlo.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3163/comentar

Más Información:

Fake Adobe Shockwave Player download page
http://isc.sans.org/diary.php?storyid024



Sergio de los Santos
http://www.hispasec.com/unaaldia/3163




Preguntas similares