sábado, 22 de octubre de 2016

Propagación de Malware | Parte 3 - PHARMIG





PHARMIG



Por lo que hemos visto en post anteriores y a continuación tenemos contemplado que el fin mas común que tiene un malware es robar información para tener una ganancia lucrativa, para el atacante o el creador de dicho malware.

Y de igual forma como se ha mencionado con anterioridad, el mejor canal de propagación de malware siempre sera por medio de Internet, en este caso tenemos el Pharming, que a grandes rasgos consiste en manipular los registros de servidores DNS con el objetivo de redireccionar las solicitudes de usuarios. hacia otros sitios, claro con contenido malicioso.

Es decir cuando el usuario acceda a un determinado sitio web, el servidor comprometido lo rediccionara hacia una IP maliciosa en donde el usuario puede comprometer su información si no se da cuenta a tiempo de lo que sucede.

Como ejemplo tenemos el siguiente diagrama...

Para explicar un poco mejor, cuando el usuario pide acceder a www.Facebook.com con la IP 175.240.3.35 el servidor DNS comprometido redireccionar a www.facebok-fake.com con la IP 231.342.232.2 siempre y cuando el usuario intente acceder a www.facebook.com en caso contrario, como www.youtube.com no es redireccionado este va directo.

Un poco mas simplificado seria:

www.Facebook.com IP 175.240.3.35 redirecciona a 231.342.232.2 www.facebok-fake.com

www.Youtube.com IP  216.58.218.142 no redirecciona 216.58.218.142 www.Youtube.com

Caso contrario si tambien afectara a www.Youtube.com



www.Facebook.com IP 175.240.3.35 redirecciona a 231.342.232.2 www.facebok-fake.com

www.Youtube.com IP  216.58.218.142 redirecciona a 216.58.218.129 www,muchosvirus.com


Sin embargo los sistemas operativos tienen un archivo llamado hosts, el cual es utilizado para asociar direcciones IP con los nombres de dominio el cual funciona a modo de servidor DNS. Cada vez que el usuario accede a un sitio web el sistema hace una búsqueda en este archivo, para saber si existe alguna referencia con la solicitud del usuario, antes de consultar el servidor DNS.












En el caso de Windows lo podemos encontrar en la Ruta:

C:/Windows/System32/drivers/etc

Actualmente este archivo puede ser manipulado, modificado o remplazado por malware el cual cambia las IP de los dominios legítimos por IP's que redireccionan a sitios maliciosos.

Estos son ejemplos del contenido del archivo hosts modificado por malware.











Ejemplo por ESET



















Como podemos ver en los ejemplos anteriores el malware ha modificado las direcciones IP de cada nombre de dominio, esta técnica o método se le conoce por el nombre de Pharming Local. A grandes rasgos consiste en modificar el archivo hosts por medio de un malware.

Ping a sitio web

El los malware que realizan estas acciones están acompañadas con campañas de Spam y se suele ver en ataques de Phishing para robar información delicada, como números de tarjetas de credito, Hace algún tiempo, varios malware afectaraon a una gran caridad de usuarios en Mexico, por lo general a quienes eran clientes de lgunos bancos, quienes reportaban gastos normales.

Pero esto también puede ser utilizado para campañas de propagación de malware, incluso puede ser usada con Ransomware para redireccionar a los usuarios a paginas que descargan el malware de forma automática.

0 comentarios:

Publicar un comentario