viernes, enero 11, 2013

Malwarebytes, un binario y un Pac Man ilegal

Está claro que en mundo de hoy en día no se puede estar seguro al 100% en Internet. Cada cierto tiempo vemos que alguien ha descubierto alguna vulnerabilidad en algún sitio o que una página web de renombre ha sido vulnerada. Y no solo estamos hablando de seguridad personal sino de la seguridad que tienen los que nos la ofrecen a nosotros. El siguiente caso a continuación,es una anomalía detectada en la página web de la famosa empresa Malwarebytes Anti-Malware. Esta anomalía fue descubierta en el mes de Noviembre de 2012.

El día 13/11/12 al navegar por la red, por arte de magia saltó una ventana que me comenzaba a descargar un archivo con procedencia de hxxp://es.malwarebytes.orgA todo el mundo le extrañan estas cosas, más cuando sabemos cómo se las gastan en el mundo del Fraude Online en Internet, y más cuando crees que tu navegador está protegido con las medidas que has tomado. Lo que lo hizo todavía más extraño es, que me sucedió mientras estaba navegando por otro dominio debido a que utilizo en el navegador una extensión que me organiza las pestañas y hace el refresco de las mismas cada cierto tiempo.

Figura 1: Descarga de un fichero desde Malwarebytes

Ya que me parecía muy raro, lo siguiente que hice fue intentar acceder a esta URL desde distintos navegadores para descartar falsos positivos, así que me conecté con Comodo Dragon, Abrowser, y Firefox usando además distintos sistemas operativos.

Figura 2: Descarga desde otros navegadores y otros sistemas operativos

Como se puede observar, en las distribuciones Linux el archivo es detectado como “BIN file”. En navegadores similares a Chrome, como lo es Comodo Dragon, al intentar acceder a la página web, el archivo es descargado directamente sin preguntar al usuario si desea guardarlo o no. Es precisamente por estas cosas que siempre pruebo más de una manera de llegar al destino que quiero. Gracias a esto ya sabía que posiblemente sea un iframe, ya que en Chrome se baja sin previo aviso. Ahora me tocaba confirmar esta teoría. Para ello me situé en la página de Malwarebytes y le di una ojeada al código fuente buscando iframes dentro de él.

Figura 3: El iframe en el código fuente de Malwarebytes

Como se puede ver en la línea 142 hay un “iframe” con un nombre bastante raro “sunday.html”. ¿Es bastante raro ver algo que tiene ese nombre en el cófigo fuente verdad? Pero claro cosas más raras se han visto. Como a casi todos, me picó el gusanillo y entré en “sunday.html” para encontrarme con una página rarisima en la que podemos ver entre otras cosas el logo de la empresa, patos con picos de colores, y las reglas del juego.... ¿¿Pac-Man??. Pues sí, además en el centro de la página se ve “Click to start”.

Figura 4: ¿En Sunday.html se podía jugar al PacMan?

Si hubiera estado el juego podría haber echado una partida, pero intrigaba más hacer “clic” en el enlace de Github. Cuando nos vamos allí, se puede ver que estamos situados en el perfil y ver que el autor se hace llamar Shaun Williams-Shawnew, ver un poco sus conocimientos y aportes a la página. Ya que es público cotilleamos un poco.

Figura 5: El repositorio del Pac-Man

Si vamos a “takedown notice” vemos que la compañía de videojuegos Namco le ha "pedido amablemente" que quite el código fuente del juego ya que no dispone de los derechos de autor. También podemos ver que tiene una cuenta en Twitter además de unos cuantos seguidores.

Visto lo visto, volviendo hacia atrás, indagando en el código fuente de “sunday.html” se puede ver que donde debería estar el juego, no hay nada. Únicamente la URL del sitio donde está alojado el script.

Figura 6: Un javascript en sunday.html queno esta en la cdn

Fijaros que en ningún momento hay dominios externos, solamente en el caso de Github. Todo lo demás está en el dominio de la empresa: scripts, imagenes, etcétera. Comprobando los scripts y demás, el hash coincide. Únicamente lo que falla sería el script “sunday.js”. Después de un análisis online del script, el resultado fue negativo, no había nada codificado ni ningún movimiento raro que llamase la atención. Otra anécdota es el número “20121109”. ¿Soy yo o es 09-11-2012? Encima ha sido creado recientemente.

Pensándolo bien quería ver lo que pasa cuando te bajas el archivo misterioso. Lo que me encontré es que cada vez que lo bajaba cambiaba de nombre al estilo “polimórfico”. Cada descarga cambiaba con números y letras de 8 dígitos alfanuméricos.

Figura 7: Descargas múltiples con diferentes nombres

Os estareis preguntando qué era el archivo este tan pequeño detectado como binario. Pues bien, no era ni más ni menos que el código fuente de la página de la compañía. Lo extraño es que al abrirlo se mostrase el código, pero lo que es más extraño todavía es que tuviera “atributos polimórficos”.

Por último, como me encanta la metadata busqué a ver si encontramos alguna información útil que dijera algo. Pero no hubo suerte, solamente sabemos que las 3 imágenes habían sido creadas con Adobe ImageReady y que 2 de ellas son del mes de Febrero y la otra de Junio de 2012.

No sé muy bien por qué ese iframe está ahí - ahora mismo oculto, pero a día de hoy sigue ahí - pero si cambias en la parte del iframe el valor de “style” de none por yes verás el resultado en su conjunto.

Figura 8: La web con el iframe mostrándose

La anomalía fue reportada en su debido tiempo y ya no aparece la ventana para bajarnos el archivo pero aún está ahí el iframe oculto... ¿por qué?

Autor: Colosus Dios

11 comentarios:

  1. Menudo pringao si tienes chrome configurado para que se baje los ficheros sin preguntar

    ResponderEliminar
  2. Hola Chema,

    Creo que hay una erratilla en el segundo párrafo: pone hxxp://... cuando supongo que queríais decir http...

    Ni caso a los comentarios destructivos ;)
    A mi me encanta tu blog, te leo todos los días y te animo a que sigas escribiendo y contándonos cosas sobre este apasionante mundillo.

    Un saludo y feliz año!!!

    ResponderEliminar
  3. El primer comentario me ha leido la mente. ! Que haces con chrome ? Deberias estar usando Internet Explorer !

    ResponderEliminar
  4. Venga va a ver quien dice la burrada más grande... si tanto criticáis demostrar vuestro conocimiento... soy todo ojos... buen post nunca está de más aprender cosillas como esta, gracias!!!

    ResponderEliminar
  5. ultimo anonimo. Tener chrome con descargas automaticas es de newbie. Llamar a un fichero que cambia de nombre polimorfico es de newbie. No entender porque en un navegador sale como octect/stream y en otro como bin file es de newbie. Escribir el nombre del articulo al final del mismo para que a primera vista parezca tuyo es de newbies. Tu tambien eres un newbie

    ResponderEliminar
  6. @JCarlos "Escribir el nombre del articulo al final del mismo para que a primera vista parezca tuyo es de newbies".

    Cuando te metas en mi cabeza podrás poner mis intenciones en tus palabras, mientras tanto no seas ridículo.

    Saludos!

    ResponderEliminar
  7. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  8. Indagando un poco más en el código fuente, he descubierto que no es más que un "Easter Egg" utilizando el código Konami. Lo único que hay que hacer es entrar a http://www.malwarebytes.org y poner el código Konami. Para aquellos que no lo recuerden o conozcan se los dejo aquí:

    Arriba, arriba, abajo, abajo, izquierda, derecha, izquierda, derecha, b, a.

    El iframe se revelerá automáticamente, además de que el juego funciona 'casi' correctamente (en ocasiones funciona a velocidad turbo en Firefox). Aún así ya he pasado el primer nivel. xD

    zInNeR

    ResponderEliminar
  9. Por cierto, el script que intercepta el código Konami se encuentra en la línea 117 del código con esta URL:

    http://js.cdn.static.malwarebytes.org/site_resources/20130104-3ad47206bb/js/code.js

    Y es la única funcionalidad de ese script.

    zInNeR

    ResponderEliminar
  10. Gracias por el descubrimiento "Unknown".Buen trabajo el tuyo y el de "Colosus Dios".

    Los demás podrían aprender un poco de vosotros y no llamar "newbie" al Gran Chema MVP de Microsoft.

    Buen trabajo los 3. ;)

    ResponderEliminar
  11. Para el comentario 2 de David... presta atención antes de comentar. Al final del artículo verás el nombre del autor del artículo y lo del hxxp es normal... para que las personas descuidadas como tu no copien y peguen.

    ResponderEliminar