Twitter Bot

Cuando un sistema es infectado, generalmente es controlado remotamente recibiendo comandos a través de canales de IRC, P2P ó HTTP. José Nazario (Arbor Networks) en cambio, encontró un interesante ejemplo de un botnet activa y real que hacía uso de Twitter como panel control.

Nada nuevo

Durante una de las presentación en Defcon 17, Tom Eston y Kevin Johnson mostraron una prueba de concepto de un bot llamado KreiosC2, cuyo funcionamiento es bastante sencillo, solo hay que crear una cuenta en Twitter y configurar el bot para que la siga (follow); cuando queremos que el bot haga algo solo basta con enviar una actualización en dicha cuenta de Twitter. Ejemplo: “cmd: look at 128.47.220.51” hará que ejecute el comando ping a la dirección IP 128.47.220.51.

Debido a que Twitter cuenta con la habilidad de detectar y filtrar texto entre las actualizaciones enviadas por sus usuarios, es posible modificar el lenguaje de los comandos dinámicamente así como también utilizar codificación Base64 y/o algún tipo de encriptación.

Es interesante ver como ya hay alguien haciendo uso de esta prueba de concepto para actividades fraudulentas; en este caso la botnet descubierta habría estado siendo utilizada por un troyano bancario cuyo objetivo serian entidades brasileras, Banco do Brasil seria una de ellas.

Actualización: Kaspersky Lab publica una entrada en su blog en donde muestran capturas y más información sobre este malware que también estaría haciendo uso de Jaiku, además de Twitter.

Jaiku Bot

Enlaces relacionados:

Más información sobre KreiosC2:
http://www.digininja.org/projects/kreiosc2.php

Using Twitter as a botnet: KreiosC2
http://securitybananas.com/?p=101

Vía Twitter-based Botnet Command Channel

Por Mercè Molist

«Hay millones de delitos informáticos que no se denuncian y los que sí, sólo el 9% acaban en detenciones», afirmó la investigadora Erin Kenneally en la reunión anual del Anti Phishing Working Group (APWG), celebrada la semana pasada en Barcelona. Y eso no es nada según el asesor de las Naciones Unidas, Raoul Chiesa: «Por suerte los terroristas aún no saben atacar las infraestructuras críticas, que están desprotegidas en todo el mundo».

El pesimismo y las descripciones apocalípticas sobre la inseguridad en Internet dominaron la reunión del APWG, que congregó a expertos internacionales de la industria, las universidades y las fuerzas de la ley. Una representante del Federal Bureau of Investigation (FBI), Donna Peterson, aseguró: «Estamos desbordados, hay demasiada información por investigar y no podemos ir a más velocidad. Han robado mi propia identidad tres veces en el pasado año».

El robo de identidad, sean contraseñas o datos bancarios, es la estrella de los fraudes en Internet que, según la empresa S21sec, se han doblado en un año. El 62% son casos de «phishing», que se está cebando en el Sistema de Nombres de Dominio: los criminales registran o secuestran dominios y los dan a ordenadores infectados bajo su control, que actúan como señuelo para que los incautos introduzcan datos bancarios. Al cambiar velozmente el dominio de una máquina a otra, dificultan mucho su localización.
Leer más →

En el día de ayer me llego el siguiente mensaje a una de mis cuentas de correo de parte de BBVA Banco Francés (Argentina), en el cual obviamente no tengo cuenta alguna 😛

Phishing a BBVA Banco Francés (Argentina)

Es un ataque normal de phishing, lo llamativo era que la copia exacta de la web original del banco estaba en el directorio principal del dominio, y no en una subcarpeta como suele suceder con los sitios que son víctimas de intrusiones. El mismo fue reportado a Segu Info y luego de ponerse en contacto con los responsables del hosting lograron la baja del mismo en poco tiempo 🙂
Más información:
http://blog.segu-info.com.ar/2009/05/grave-caso-de-phishing-bbva-banco.html

WebAir es una empresa de web hosting que, si bien cumple con las «tres B» (Bueno, Bonito, Barato) se queda muy atrás en lo que concierne a seguridad de sus servidores. Es por eso que no es raro escuchar a sus usuarios quejarse de haber sido «hackeados» o que sus sitios ahora se encuentran propagando malware (virus) o están siendo utilizados en algún tipo de estafa online.

Yuu, un amigo que aloja sus sitios y algunos de sus clientes, se encontró un día con que un grupo de jóvenes brasileros estaban usando uno de sus dominios para robar información de usuarios de Orkut y los bancos Caixa Econômica Federal y Bradesco.

Los atacantes modificaron los archivos index (php, html, etc.) agregando una porción de código Javascript que intenta explotar la vulnerabilidad en Microsoft Data Access Components (MDAC) y descargar un troyano empaquetado con Themida. Agregaron además, tres carpetas con archivos que simulan ser la pagina de Orkut (red social MUY popular en Brasil), Caixa Federal, Bradesco y algunas herramientas en PHP (c99shell, r57, etc.) comúnmente utilizadas para cometer este tipo de travesuras. En todos estos casos los usuarios fueron redirigidos a dichas webs haciendo uso del SPAM.
Leer más →