Clonen p? gines del YouTube per transmetre codi malici

Compartir

El cost d’aquests de kits varia entre els 700 i els 3.000 dòlars, preu que pot incloure fins a suport tècnic i actualitzacions. Els usuaris poden comprometre els seus PCs, arriscant les seves identitats en línia i actius financers depenent de la càrrega del codi maliciós descarregat.


Agències – Els grups de crackers estan demostrat una i altra vegada la seva sorprenent capacitat per crear noves formes de distribuir codi maliciós. Així ho posa de manifest Trend Micro, que ha descobert un nou kit d’eines en castellà, YouTube Fake Creador, que produeix rèpliques exactes de pàgines de YouTube. Entre d’altres riscos, els usuaris poden comprometre els seus PCs o arriscar les seves identitats en línia i actius financers depenent de la càrrega del codi maliciós descarregat en un atac específic.

La indústria de la seguretat té coneixement de l’existència i comercialització de kits d’eines per a crear codi maliciós, com ara Mpack, Neosploit, IcePack o RockPhish, responsables de la proliferació d’arxius d’explotació que són crítics en la silenciosa execució de les amenaces Web. A aquestes eines s’hi ha afegit YouTube Fake Creador, que produeix pàgines falses de YouTube que estan tan ben fetes que són difícils de distingir de les legítimes. Es revela així una estratègia d’infecció que pot ser prou convincent per enganyar als usuaris.

Com treballa aquesta amenaça

YouTube Fake Creador va aparèixer per primera vegada en fòrums clandestins. En executar el kit d’eines es desplega una interfície gràfica d’usuari (GUI per les seves sigles en anglès) escrita en castellà que conté quadres per completar i menús de cascada. Aquestes opcions permeten a l’atacant especificar la ubicació del servidor, la barra de títols i el text del títol de la finestra, el títol i descripció del vídeo, i fins i tot els elements per fer comentaris. El GUI del kit d’eines fins i tot demana a l’atacant especificar quant de temps s’ha de desplegar la pàgina d’error. Així mateix, li permet modificar el codi font de les opcions index.html i error.html. Després d’anotar les especificacions, el kit crea els dos arxius html esmentats.

L’amenaça, que insta als usuaris a descarregar un programa addicional per poder veure vídeos i després roba dades del PC on ha estat instal·lat, forma part de kits d’eines que ofereixen una guia senzilla per a la creació d’aquest malware, fins i tot per als usuaris no tècnics.

Les URLs de pàgines de vídeo falses produïdes per aquest kit poden arribar per diferents mitjans: a través de spam, d’enllaços de missatges instantanis o per mitjà d’altres llocs on estigui permès publicar enllaços (fòrums comunitaris, llocs de xarxes socials, pàgines de blocs, etc.).

Normalment aquests kits no només es venen amb una guia senzilla que explica pas a pas com crear aquestes amenaces informàtiques, sinó que a més poden ser adquirits a baix preu, en funció del que puguin arribar a robar. Així, el cost d’aquests kits varia entre els 700 i els 3.000 dòlars, el que pot incloure o no suport tècnic i actualitzacions”, afirma Gabriel Agatiello, Enginyer Prevenda de Trend Micro.

Aquests kits són venuts en fòrums clandestins pels mateixos creadors i anunciats obertament pels blocaires que afirmen ser hackers. Les negociacions respecte als termes de pagament d’aquests kits sovint es fan de manera privada via ICQ (el servei de missatgeria instantània “I seek you”).

L’atac es realitza de la següent manera:

– L’arxiu index.html és la pàgina falsa de YouTube, que requereix que l’usuari descarregui un plugin per veure els vídeos de la pàgina. Els atacants poden enviar enllaços a través de diferents vectors d’infecció.
– Per desgràcia, aquest és un parany comú i els usuaris que facin clic a la barra groga de la pàgina falsa descarregaran sense adonar-se l’arxiu que l’atacant hagi especificat. Aquest arxiu, per descomptat, pot incloure un troià, un script o un keylogger. Tot seguit, s’executa automàticament en el sistema sense que l ‘usuari ho sàpiga.
– Per semblar més convincent, l’atac desplega un segon arxiu, error.html, possiblement per evitar sospites.

L’esforç per crear un kit d’eines tan complet que permeti atacs tan dirigits com aquest, es recolza en la revolució que estan tenint els mitjans socials i en la popularitat que aquests posseeixen en la vida diària dels internautes”, afegeix Agatiello.

Solucions i Recomanacions de Trend Micro

Trend Micro recomana utilitzar Trend Micro Smart Protection Network, una tecnologia que ofereix protecció intel·ligent enfront dels mètodes convencionals, doncs bloqueja les amenaces més recents abans que es produeixi l’atac. Integrada en les solucions i serveis de Trend Micro, aquesta combina tecnologies “in the cloud” úniques i una arquitectura de client lleugera per protegir de manera immediata i automàtica la informació de l’usuari cada vegada que es connecta.

Smart Protection Network també ofereix una altra capa de defensa a través de la tecnologia Web Reputation de Trend Micro, que identifica pàgines web malicioses o perilloses conegudes i bloqueja l’accés dels usuaris a les mateixes en funció de les classificacions de reputació dels dominis. La tecnologia Email Reputation bloqueja el correu brossa relacionat i la tecnologia File Reputation avalua la integritat de tots els arxius descarregats en els ordinadors. Per la seva banda, la tecnologia de correlació “in the cloud” amb anàlisis de comportament troba les associacions entre combinacions d’amenaces per determinar si són part d’un atac maliciós general. Juntes aquestes tecnologies protegeixen l’usuari contra els diversos components d’aquest atac: les pàgines de vídeo falses i el codi maliciós que es descarrega al PC. Així mateix, qualsevol usuari que rep una URL maliciosa a qualsevol lloc (aplicacions de missatgeria instantània, correu electrònic, escrita a la barra d’adreces) no podrà tenir accés a ella.

Guillem Alsina