review: Nine Ball + FFSearcher
No es secreto que la web se presta para todo tipo de hackeos, pero en estos últimos meses se dieron casos de inyección masiva que infecto miles de páginas y a través de ellas se infectó a miles de workstations de usuarios.
El caso que nos compete en esta entrega es Nine Ball y uno de los malwares que instala, el troyano FFSearcher. Nine Ball (según websense) infectó más de 40.000 sitios web legítimos en las dos semanas observadas, desde los cuales se infectaron miles de máquinas con FFSearcher a través del uso de múltiples exploits.

Los sitios web infectados (con un código ofuscado para no ser detectado) redirigen al usuario, de forma transparente, entre diversos sitios, terminando una serie de exploits que, si tienen éxito, instalan el troyano. Esto es, si un usuario visita un sitio web infectado, es redirigido a través de una serie de sitios web que son propiedad del atacante, terminando en la página final (ninetoraq.in, gracias al nombre de esta se nombró al malware Nine Ball) que contiene el código de los exploits. La última página visitada almacena la dirección IP del pobre e ignorante usuario (ignorante en el sentido que no se entera de todo lo que está pasando). Cuando el usuario visita una de las páginas infectadas por primera vez, éste es redirigido hasta llegar a la página con el exploit, pero si el usuario ya ha estado en alguna de las páginas, la redirección es hacia el sitio legítimo y no infectado ask.com.
Ustedes se preguntarán, y para qué hace esto???... bueno, es una genialidad del autor, de ésta forma le complica la vida a los analizadores del malware, porque sólo podrán observar el comportamiento una sola vez por IP, si visitan el sitio más de una vez con la misma IP, simplemente verán ask.com (me imagino la calentura de los pobres trabajadores de la seguridad =D). Por otra parte, la redirección hace que sea más complicado encontrar la fuente del mal. Pueden ver un dibujo abajo (créditos a websense) con este sistema de trabajo.
Ahora, también pueden estarse preguntando, y cómo es que llego hasta la página de ninetoraq sin enterarme??? Resulta que esto es especialmente fácil de hacer, sino recuerden mi anterior artículo Robando información del historial (sin usar JavaScript!). Todo es cuestión de encontrarle la vuelta, pueden usar JavaScript o el ya clásico sistema de hacking usando iframes que se oculta mucho mejor.
El código inyectado en los sites es de cierta forma random, pero la deofuscación es siempre igual. El algoritmo usa la función de JavaScript "String.fromCharCode" para convertir un grupo de valores decimales a string. El string obtenido tras la deofuscación es un iframe que eventualmente conduce a la página infectada.
El payload del código malicioso está altamente ofuscado (para que no lo pesque cualquier antivirus zapallon) e intenta explotar vulnerabilidades en Acrobat Reader, QuickTime, Microsoft Data Access Components (MDAC) y AOL SuperBuddy, entre otras posibles.

Como mencionaba al principio del post, Nine Ball es una de las inyecciones masivas que ocurrieron en el último tiempo, otras fueron Gumblar que infectó cerca de 60.000 páginas y Beladen que hizo lo propio con unas 40.000. Esto se va poniendo de moda...

Además de la citada websense, también pueden leer sobre Nine Ball en scmagazineus.com e infoworld.com.


Comentado el funcionamiento de Nine Ball, me meto de lleno con FFSearcher, tal vez el malware más interesante de los instalados por Nine Ball. FFSearcher debe su nombre a uno de los sitios utilizados en el engaño (ffsearcher.com) y es un sistema de Click fraud sobre Google Adsense for Search.
Una vez instalado en la máquina víctima, FFSearcher redirigirá de forma transparente todas las búsquedas que haga el usuario en google a través de los sitios amigos del malware, y de esta forma hacer ganar a dichos sitios grandes sumas de dinero.
Para entender mejor cómo ganan dinero, les detallo un poco mejor el mecanismo (picarones, ya los veo queriendo hacer lo mismo). Supongan que el sitio ganardinerosintrabajar.com incluye un widget Google Adsense for Search para que cuando un usuario realize una búsqueda a través de dicho textbox y clickee algún resultado, Google le pague a ganardinerosintrabajar.com una cierta suma de dinero. Ahora supongan que un usuario ignorante (nuevamente, ignorante en el sentido de que no sabe que sucede detrás) tiene instalado FFSearcher en su pc, éste abre en su browser (Firefox o Internet Explorer) la página google.com, realiza una búsqueda y clickea alguno de los resultados (hace un request sobre una página a google para entrar en ella). FFSearcher hará que ni la búsqueda en google ni el request de la página deseada vallan directamente a google.com, sino que vallan al widget de ganardinerosintrabajar.com y así darle una alegría al dueño de ganardinerosintrabajar.com, quien teniendo una página que capaz no visita ni su madre, se llena de dinero.

Lo "bueno" de FFSearcher es que logran hacer todo el fraude de forma transparente para el usuario. El usuario no ve ningún indicio de lo que está pasando dado que el browser envía y recibe los requerimientos de forma normal, y el troyano por debajo se encarga de reformarlos para desviarlos a donde desea y luego transformar lo retornado para que parezca provenir de google.com. Además los resultados no son alterados por el troyano, algo que seguramente avivaría al usuario de que algo va mal. Por otra parte, los atacantes no están desviando los pagos hacia/desde los publicistas como en el Click Fraud tradicional, simplemente fuerzan a google a pagarles por algo que de otra forma no les pagarían. Digamos, le sacan un poco de dinero a google y no perjudican a nadie, al final no son tan malos =P
Entre las páginas que se estuvieron beneficiando con el fraude, según SecureWorks, son la citada ffsearcher.com, i-web-search.com y my-web-way.com. Por supuesto que google ya les dio la baja al Adsense de dichas páginas, pero el atacante podría crear algunas nuevas.

Algunas fuentes de información son voices.washingtonpost.com y blog.trendmicro.com.

3 comentarios:

Jorge dijo...

Muy buena la idea de estos muchachos de ffsearcher, hacemos algo parecido?jeje

Zerial dijo...

@Jorge: adelante! :P

JaviZ dijo...

Muy buen artículo!

Salu2,
Javi

Publicar un comentario