sábado, octubre 11, 2008

Puestos al día

La técnica de Evilgrade que nos mostró Francisco Amato consiste en utilizar los mecanismos de actualización inseguros que utiliza mucho software para mantenerse al día. Esos mecanismos que no comprueban el software que van a instalar en el equipo mediante una comprobación del servidor que entrega el ejecutable y una comprobación del ejecutable son carne de cañon para la técnica de Evilgrade.

Sin embargo, a veces la idea más bestia suele funcionar y hace tiempo se puso de moda el machacar a la gente con Spam que simulaban ser actualizaciones de Spectra. Un Evilgrade a lo bestia.

Hoy me ha vuelto a llegar el mail, pero... mucho más cuidado el detalle. Lo curioso es que primero he recibido el "mail de amor" de "pajarraco" de los Santos de Hispasec anunciandome que Spectra se iba a actualizar.


Una al día de actualizaciones de seguridad

Este mail, mensualmente, nos avisa de las actualizaciones previstas para el próximo martes y ya, cómo nos lo ha explicado de los Santos, pues dejamos que el Windows se nos actualice sin dar mayor problema.

Curiosamente, el mail que llega con el troyano llega al día siguiente y superelaborado. ¿Se habrá sincronizado con la newsletter de Hispasec? Pues tal vez sí o tal vez no, pero viendo lo elaboradito que viene, yo no descartaría para nada que hayan esperado a que "pajarraco" nos calme a los miles y miles y miles de personas que recibimos el boletín de Una-al-día para luego enviarnos el "parchano"


El "evilgrade" spam

Este mail está lleno de detallitos:

1.- Su direción de envio desde una cuenta de microsoft.com con un nombre de actualizacion de seguridad: Si los servidores de correo entrante tienen configurada la comprobación de los registros SPF de forma restrictiva o si el sistema antispam está ajustado a un nivel alto este mail no entra, ya que lógicamente la IP de origen de este mensaje no es la IP de un servidor de correo saliente autorizado por Spectra.

2.- La fecha: Cercana al próximo ciclo de actualizaciones y justo después de que Sergio envíe la newsletter de una-al-día. Si es una casualidad, les ha salido niquelada.

3.- El ejecutable: Con el nombre basado en la Knowledge Base [KB095040]

4.- La firma, con su PGP y todo: En este caso firmado por Steve Lipner, que además trabaja en el MSRC y es un tipo que... ¿no te daría a tí confianza el Dr. Hou... digo.. Stevenson?

¿Para que buscar complicados desbordamientos de buffer si puedes hackear a la gente? Hagamos el engaño mejor y listo.

Saludos Malignos!

7 comentarios:

Anónimo dijo...

Y, por si fuera poco, aproximadamente un 33% de los antivirus (entre ellos muchos de los que se consideran de primer orden) no lo reconocen.

Anónimo dijo...

Lo peor de todo es que este tipo de estafas proliferan por la red y que mucha gente puede caer. Estoy de acuerdo en lo que comentas Chema, ¿para qué reinventar las técnicas si aplicando algo como la ingeniería social ya consigo el propósito? No deja de ser, al menos, curioso.

Anónimo dijo...

Yo lo recibí el mismo día 10 a las 6 de la tarde. Creo que ha sido casualidad que sea justo después del aviso de Hispasec.

warp3r dijo...

Mientras haya humanos, habrá problemas de seguridad =)
A ver cuando tardan en enviar .deb's de ubuntu con la misma excusa, o dpkg's de apple...

warp3r dijo...

digo dmg's de apple.

Anónimo dijo...

"¿Para que buscar complicados desbordamientos de buffer si puedes hackear a la gente? Hagamos el engaño mejor y listo."

Eso no es nada original. Ya lo pensó BG hace años y por eso es que ahora dicen que "la gente prefiere winchot".

Saludos

dalvarez_s dijo...

Pero la firma PGP del mensaje no te dará como válida no?

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares