Casi 160.000 ordenadores han sido infectados con Mpack.

A raíz de una detección realizada por NanoScan beta, PandaLabs dio con esta herramienta que permite descargar malware en los ordenadores aprovechando un gran número de vulnerabilidades.

Casi 160.000 ordenadores han sido infectados con Mpack.

- Hay al menos diez mil páginas web que ya infectan utilizando esta herramienta.

- Se vende en foros online por unos 700 dólares. Además, los creadores ofrecen actualizaciones para aprovechar las distintas vulnerabilidades que vayan surgiendo.

Un exploit detectado por NanoScan (www.pandasoftware.es/nanoscan), la solución online de Panda Software, fue la pista que llevó a PandaLabs a descubrir Mpack, un programa que permite ejecutar malware en máquinas remotas aprovechando un gran número de vulnerabilidades. Mpack se ha usado ya en varios casos. Una de las versiones a las que ha tenido acceso PandaLabs ha sido empleada para infectar 160.000 ordenadores.

Estos datos han sido obtenidos de la herramienta de estadísticas que incluye la propia aplicación. Además del número de infecciones, esta página permite a los ciber-delincuentes controlar datos como hosts atacados agrupados en función del sistema operativo y navegador que utilizan; máquinas infectadas totales y únicas, y eficacia que han tenido las infecciones en cada área geográfica.

Esta herramienta se vende en distintos foros online por un precio de unos 700 dólares americanos. Con la última versión, los creadores ofrecían un año de soporte gratuito.

“Mpack cuenta casi con las mismas funcionalidades que una aplicación comercial. Así, por ejemplo, ofrece actualizaciones a sus clientes. Estas actualizaciones no son, ni más ni menos, que los exploits para aprovechar las últimas vulnerabilidades que hayan surgido y han ido dando lugar a las distintas versiones que existen de la aplicación. Suele salir una nueva cada mes y cuestan entre 50 y 150 dólares”, comenta Luis Corrons, Director técnico de PandaLabs.

Además, si los clientes pagan 300 dólares más, se les ofrece también DreamDownloader. Es otra herramienta que, en este caso, está diseñada para crear troyanos downloader. El funcionamiento es el siguiente: el hacker indica a DreamDownloader la URL donde se aloja el fichero que quiere descargar (un troyano, un gusano, archivos, actualizaciones de un malware, etc.), y la utilidad genera automáticamente un fichero ejecutable que realiza todo el proceso de descarga.

“Estas dos herramientas son complementarias. Con la primera consigues infectar al usuario con el malware que desees. La segunda, permite crear ese malware que, además, estará diseñado para descargar aún más códigos maliciosos en los ordenadores comprometidos”, explica Luis Corrons, Director técnico de PandaLabs.

Así ataca Mpack

El método de infección es bastante silencioso. Para conseguir que los usuarios ejecuten el código malicioso, los delincuentes utilizan varias técnicas. Cuando se trata de servidores web, suelen añadir una referencia de tipo iframe al final del fichero que carga por defecto y que apuntará a la página index del sitio donde está instalado Mpack.

También hay ocasiones en las que suelen usar ese mismo sitio hackeado para alojar el propio Mpack u otro tipo de malware. La razón de alojar malware en servidores de terceros es que, de esta manera, los ciber-delincuentes esperan dificultar su localización por parte de las autoridades.

Otro método de infección es introducir ciertas palabras, generalmente muy buscadas, en las páginas web donde están alojados. De esta manera, cuando la página se indexa en los buscadores, los usuarios que busquen esas palabras acaban en la página que contiene Mpack y se infectan.

Una cuarta forma es comprar dominios con nombres similares a sitios conocidos, como por ejemplo gookle, que solo se diferencia en un carácter del famoso buscador google. Los usuarios que se equivoquen en un carácter al escribir el nombre de este buscador podrían ser infectados.

Una última manera es enviar correos masivos a muchas direcciones de correo electrónico. Estos correos suelen contener enlaces y utilizan diversas técnicas de ingeniería social para que ser ejecutados.

Una vez ha llegado a una máquina, el exploit se ejecuta y guarda datos sobre el ordenador infectado (navegador, sistema operativo, etc.). Esa información, será luego enviada al servidor donde se almacenará.

PandaLabs ha realizado un completo estudio sobre Mpack que se encuentra disponible en la dirección http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf

Los usuarios que deseen comprobar si algún código malicioso ha atacado su ordenador pueden utilizar, de manera completamente gratuita, las soluciones online TotalScan o NanoScan beta, que se encuentran disponibles en la dirección www.infectedornot.com

Sobre PandaLabs

Desde 1990, PandaLabs trabaja en la detección y eliminación de nuevas amenazas de seguridad, con el objetivo de analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24 horas los 7 días de la semana, dando respuesta a nuestros clientes. Se apoyan en las Tecnologías TruPreventTM, un sistema global de alerta temprana. Está formado por sensores estratégicamente distribuidos, que neutralizan nuevas amenazas y las envían a PandaLabs para su análisis en profundidad. Según Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios. Más información en http://www.pandasoftware.es/pandalabs y en el blog de PandaLabs (http:/blogs.pandasoftware.com/pandalabs).

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Primer Distribuidor Mayorista
Panda Software Argentina
www.pandaantivirus.com.ar

NanoScan
www.activescan.com.ar/nanoscan

Resellers Certificados y Activos para comercializar en Argentina:
www.pandaantivirus.com.ar/distribuidores

Panda ActiveScan TM Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Certificación como Reseller Autorizado:
www.pandaantivirus.com.ar/resellers

Renovación de servicios monopuestos y corporativos:
www.pandaantivirus.com.ar/renovaciones

Registración Online de Productos/Servicios Panda Software:
www.pandaantivirus.com.ar/registraciononline

Imagen:
www.antivirusgratis.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática