El malware y los afiliados de negocio

Cuando hallamos el caso del video falso del ataque a Berlusconi y luego el del Papa y realizamos el posterior video sobre BlackHat SEO encontramos algunos datos de interés que compartimos a continuación.

Los dominios utilizados fueron registrados todos en Rusia el 12/12/2009 y alojados en un servidor con IP 193.169.13.XXX y por supuesto forman parte del mismo grupo delictivo o asociados de negocio. Algunos de los dominios involucrados son:

  • [ELIMINADO]virussofttissue.com
  • [ELIMINADO]spysoftware.net
  • [ELIMINADO]externaltools.net
  • [ELIMINADO]utilityblog.net
  • [ELIMINADO]fervirustool.com
  • [ELIMINADO]-ty-virus.net
  • [ELIMINADO]billingsystem.com
  • [ELIMINADO]saryoils.com
  • [ELIMINADO]inputconsulting.com
  • [ELIMINADO]movement.com
  • [ELIMINADO]examine.com
  • [ELIMINADO]canner2010.net

Por otro lado siempre (hasta el momento) se descarga un archivo install.exe desde distintos servidores y es modificado continuamente para intentar evitar la detección de los productos de seguridad.  En el caso de  ESET NOD32 siempre los ha detectado en forma proactiva como variantes de Win32/Kryptik.X donde la “X” son las distintas versiones del mismo archivo.

Además cada vez que analizamos uno de los dominios y archivos, los mismos hacen referencia al mismo número de afiliado (affid=34100). Es decir que existen al menos 34.100 delincuentes asociados en este caso:

Afiliados

Este número es utilizado para identificar a los asociados (distintos delincuentes afiliados que propagan el mismo malware) y luego el creador del malware paga un porcentaje por cada descarga e instalación del archivo dañino que cada socio realiza. Es decir que un afiliado cobrará más cuanto mayor sea la cantidad de usuarios engañados y mayor sea la cantidad de sistemas infectados por él.

Esto también puede verse cuando el usuario infectado intenta “registrar” el producto ya que la sitio contactado para realizar el pago a través de tarjeta de crédito también envía el mismo número de afiliado a través de una URL como http://invoice[ELIMINADO].com/buy2.php?affid=34100.

Por este motivo es que se utilizan las técnicas de BlackHat SEO, debido a que estos afiliados  necesitan llevar más usuarios a sus sitios web, para infectarlos y luego cobrar por ello.

Cristian Borghello
Director de Educación

Autor , ESET

Síguenos