Cuando hallamos el caso del video falso del ataque a Berlusconi y luego el del Papa y realizamos el posterior video sobre BlackHat SEO encontramos algunos datos de interés que compartimos a continuación.
Los dominios utilizados fueron registrados todos en Rusia el 12/12/2009 y alojados en un servidor con IP 193.169.13.XXX y por supuesto forman parte del mismo grupo delictivo o asociados de negocio. Algunos de los dominios involucrados son:
- [ELIMINADO]virussofttissue.com
- [ELIMINADO]spysoftware.net
- [ELIMINADO]externaltools.net
- [ELIMINADO]utilityblog.net
- [ELIMINADO]fervirustool.com
- [ELIMINADO]-ty-virus.net
- [ELIMINADO]billingsystem.com
- [ELIMINADO]saryoils.com
- [ELIMINADO]inputconsulting.com
- [ELIMINADO]movement.com
- [ELIMINADO]examine.com
- [ELIMINADO]canner2010.net
Por otro lado siempre (hasta el momento) se descarga un archivo install.exe desde distintos servidores y es modificado continuamente para intentar evitar la detección de los productos de seguridad. En el caso de ESET NOD32 siempre los ha detectado en forma proactiva como variantes de Win32/Kryptik.X donde la "X" son las distintas versiones del mismo archivo.
Además cada vez que analizamos uno de los dominios y archivos, los mismos hacen referencia al mismo número de afiliado (affid=34100). Es decir que existen al menos 34.100 delincuentes asociados en este caso:
Este número es utilizado para identificar a los asociados (distintos delincuentes afiliados que propagan el mismo malware) y luego el creador del malware paga un porcentaje por cada descarga e instalación del archivo dañino que cada socio realiza. Es decir que un afiliado cobrará más cuanto mayor sea la cantidad de usuarios engañados y mayor sea la cantidad de sistemas infectados por él.
Esto también puede verse cuando el usuario infectado intenta "registrar" el producto ya que la sitio contactado para realizar el pago a través de tarjeta de crédito también envía el mismo número de afiliado a través de una URL como http://invoice[ELIMINADO].com/buy2.php?affid=34100.
Por este motivo es que se utilizan las técnicas de BlackHat SEO, debido a que estos afiliados necesitan llevar más usuarios a sus sitios web, para infectarlos y luego cobrar por ello.
Cristian Borghello
Director de Educación