Vitória Spectre Laptop com HP e The Register
O que você faz depois de ter feito milhões através de uma das linhagens mais tecnicamente sofisticados de malware já desencadeadas na internet? Faça milhões empurrando pílulas de aumento do pênis, de acordo com mais de um pesquisador de segurança.
Os resultados sugerem que pelo menos um dos bandidos por trás Koobface se ramificou para se envolver na venda de pílulas de pênis usando junkmail.
Ronald F Guilmette, um pesquisador de segurança independente, que primeiro descobriu o seqüestro de máquinas em rede corporativa da Microsoft para spamvertise comprimidos de Viagra sem licença de volta em 2010, descobriu uma forte ligação entre o mesmo EvaPharmacy grupo que as máquinas infectadas em um laboratório de testes em Redmond, há três anos e pelo menos uma das pessoas por trás do worm Koobface infame.
"EvaPharmacy é, e tem sido por muitos anos, um dos maiores, se não a maior empresa de spam no universo conhecido, bombeando mais spam, mês após mês, do que qualquer outro único indivíduo, grupo ou empresa na rede, "Guilmette disse El Reg.
A evidência vem de informações de registro de domínio histórico que liga um endereço de Moscou para ambas as operações e mostra um número de telefone idênticos ligados ao registo de domínios relacionados com Koobface e EvaPharmacy.
Spamtrackers.eu, que vem acompanhando EvaPharmacy por algum tempo, associa o nome de domínio checkoutpharamcysafe.com com EvaPharmacy. Registros WHOIS dar ao proprietário de checkoutpharamcysafe.com como "Andrey Polev".
Uma detalhada análise de pistas relacionadas com o worm Koobface pelo pesquisador de segurança Jago Maniscalchi fornece evidências de que vários domínios alegadamente ligado à Koobface foram registrados por sob uma variedade de nomes semelhantes: Andrei Polev, Andrej Polev ou Aleksandr Polev.
"Eu suspeito que todos estes são apenas pseudônimos de qualquer maneira, por isso é provável, eu acho, que o cara que escreveu todos esses nomes só não se preocupou em ser 100 por cento consistente em todos os seus usos deste pseudônimo", explicou Guilmette.
Mais crítica e mais revelador, de acordo com Guilmette, é que um contato "número de telefone" para o Koobface supostamente relacionada com o nome de domínio "cheapestpharmacy.at".
O endereço e (russo) CEP coletados para tanto o nome de domínio checkoutpharamcysafe.com (EvaPharmacy) eo nome de domínio cheapestpharmacy.at (Koobface) também são quase idênticos.
"Estes combates, de (a) o nome do requerente e também (b) o número de telefone de contato e (c) o endereço e CEP _not_ são meras coincidências, na minha opinião," Guilmette conclui.
"Pelo contrário, eles parecem apontar de forma inequívoca, em vez de um link, no mínimo, entre a gangue do Koobface e quadrilha EvaPharmacy. Talvez Koobface * é * EvaPharmacy e vice-versa. Eu realmente não sei."
Vamos SkLiP os cães de guerra
Separadamente, um relatório do fornecedor de antivírus Trend Micro, intitulado The Heart of Koobface, mostra o mesmo alias ou nomes sendo usados pelo proprietário registrado de vários Koobface C & C (Command and Control) domínios. Os detalhes podem ser encontrados na página 32, da Trend Micro estudo ( PDF ).
O nome Andrei / Andrej / Alexandr Polev, se um pseudónimo ou não, é inequivocamente ligados ao Koobface. Ela também está ligada, mais uma vez de forma inequívoca, a quadrilha EvaPharmacy, de acordo com Guilmette.
Outras peças menos substancial de evidências suportam ainda mais a teoria de que o Koobface está ligada à EvaPharmacy e vice-versa.
Um jogador chave EvaPharmacy usa um apelido online "SkLiP" - que é uma gíria, em algumas partes do mundo, pois "ladrão". A quadrilha Koobface aparentemente se identificou em algumas ocasiões como "Ali Baba & 4", uma clara referência a Ali Babá e os Quarenta Ladrões.
Investigações sobre as ligações entre Koobface e EvaPharmacy de Guilmette o levou a identificar um indivíduo baseado em Moscou, cujo nome foi fornecido ao The Register, como o chefe executivo provável de EvaPharmacy e alguém que foi previamente amarrado com Koobface. Esta pessoa não tenha sido previamente nomeado em conexão com o Koobface, verifica por El Reg sugerir.
Face / off
Koobface começou visando surfistas no Facebook e outras redes sociais a partir de dezembro de 2008, tipicamente incentivando potenciais marcas para executar pacotes de malware disfarçado como o Flash atualiza supostamente necessário para visualizar o conteúdo escabroso ou chocante.
Uma vez executado, o malware transforma os computadores comprometidos em drones zumbis sob o controle de hackers. O botnet foi usado para distribuir secundário pay-per-instalar malware nos computadores comprometidos, bem como seqüestrar consultas de pesquisa para exibir anúncios. O botnet foi então alvo de queda, o que não chegou a matá-lo.
No entanto, as coisas têm sido muito tranquila desde que o Facebook, apesar de a rede social, desde então controversa identificou cinco pessoas que supostamente estavam envolvidos com Koobface em janeiro de 2012. Estas cinco pessoas nunca foram cobrados.
Koobface foi principalmente rentabilizados através de cliques fraudulentos. A tese de Guilmette é que desde Koobface se calou há três anos, pelo menos um dos fraudadores envolvidos mudou-se para tornar-se fazendo o seu dinheiro com a venda de Viagra, Cialis e outros produtos farmacêuticos, sem receita médica, através EvaPharmacy.
Pode ser que as máquinas são comprometidos usando Koobface foi usado para spamvertise EvaPharmacy. "Spam para domínios falsos de farmácia seria mais rentável, a gangue do Koobface, que apenas tentando ganhar dinheiro com a perpetrar clique fronda," Guilmette concluiu.
Pesquisador Cybercrime Dancho Danchev também foi seguindo o rastro da gangue Koobface por anos. Ele avalia que a teoria de Guilmette está no caminho certo, mas precisa ser complementado por evidências do próprio malware, em vez de nome de domínio informações cadastrais sozinho.
"Eu também não acredito em tal tipo de coincidências em nossa linha de trabalho, no entanto, 'impressões' inicial atribuíveis deve sempre ser cruzados contra vários indicadores de campanhas ao vivo / histórico de infecção / propagação, de modo que uma imagem verdadeiramente realista possível surgir ", disse Danchev El Reg
Embora a atenção para a gangue do Koobface passou em um botnet indústria de segurança pós-Koobface, o que não podemos esquecer é que, uma vez que senti invencível para rastrear / desligar, eles experimentaram através de uma monetização multi-camadas dos exércitos, começando a servir do lado do cliente explora em 2009. O que isto revela é também uma conexão direta com Exmanoize, o autor do Exploit Kit Eleonore, como os domínios maliciosos iniciais foi registrado usando um e-mail pertencente a ele, provando que estive ocupado socializar com outros jogadores-chave do mercado naquela época. "
Análise das façanhas do lado do cliente, envolvendo Koobface, que menciona Exmanoize, e que data de 2009 da Danchev pode ser encontrada aqui .
Nenhum comentário:
Postar um comentário