Colombian HoneyNet Project

Se ha detectado modalidad de infección focalizada utilizando correo electrónico y oferta de empleo haciendo referencia al sitio web “elempleo.com”, a través de un correo que indica lo siguiente:

From: Danae Abigail Lizana Gonzales [mailto:danaeabiga@danaeabigail.com]
Sent: Domingo, 18 de Enero de 2009 03:29 p.m.
To: XXXXXXXXXX
Subject: Curriculum Vitae

Hola el motivo de este curriculum es porque vi su mail através de la pagina de empleos y le adjunto mi curriculum para que revise y conozca con detalle. espero ser la persona adecuada para el puesto que solicita. sinceramente espero conocerlo pronto. hasta luego Danae Abigail Lizana Gonsalez. Vea mi curriculum adjunto y mi perfil.

http://www.danaeabigail.com/

http://www.danaeabigail.com/curriculum.zip

…

En Chaos Communication Congress (25C3) se ha expuesto un problema de seguridad considerado grave ya que afecta la infraestructura de internet.  Este problema de seguridad está relacionado con la posibilidad de generar certificados públicos CA válidos en servidores SSL. Estos certificados funcionan como si fueran legítimos y el problema de seguridad se no ha sido publicado con el fin de evitar daños colaterales.

…

Descripción

Se ha detectado actividad de participación pasiva de secuestro de portales bancarios de Colombia.  Cuando un usuario ingresa una dirección web bancaria es dirigido a páginas de error 404.

Investigación preliminar

Cuando un usuario de un equipo infectado intenta acceder a portales específicos, re direcciona la petición a una página de error 404

Las IPs involucradas con las actividades de re direccionamiento son 216.40.254.76, 174.132.89.98 y 67.19.28.186.  Estas IPs no están reportadas como maliciosas dado que la actividad que están ejecutando no es anormal.  La página está construida a base de otros sitios Web como es el caso de google.  Ejemplo de ello es la instrucción Http < img src = “http:// www.google.com /logos/ Logo_25wht.gif”>, en la cual la página carga una imagen de www.google.com.  El código http de la página se presenta a continuación:

…

Realizando una análisis sobre el archivo 34542.exe fue posible determinar que el virus esta diseñado con el objetivo de sustraer las contraseñas del usuario víctima.  El virus obtiene las contraseñas de:

• Sistema de mensajería instantánea MSN.
• Contraseñas guardadas en sistema de Firefox.
• Vitalwerks\DUC
• DynDNSFileZilla

Evidencia de Robo de Claves.

…