Transmedia.cl - Un exploit detectado por NanoScan, la solución online de Panda Software, fue la pista que llevó a PandaLabs a descubrir Mpack, un programa que permite ejecutar malware en máquinas remotas aprovechando un gran número de vulnerabilidades.
Una de las versiones a las que ha tenido acceso PandaLabs ha sido empleada para infectar 160.000 computadores.
Estos datos han sido obtenidos de la herramienta de estadísticas que incluye la propia aplicación. Además del número de infecciones, esta página permite a los ciberdelincuentes controlar datos como hosts atacados agrupados en función del sistema operativo y navegador que utilizan; máquinas infectadas totales y únicas, y eficacia que han tenido las infecciones en cada área geográfica.
Esta herramienta se vende en distintos foros online por un precio de unos 700 dólares americanos. Con la última versión, los creadores ofrecían un año de soporte gratuito.
Además, si los clientes pagan 300 dólares más, se les ofrece también DreamDownloader. Es otra herramienta que, en este caso, está diseñada para crear troyanos downloader. El funcionamiento es el siguiente: el hacker indica a DreamDownloader la URL donde se aloja el fichero que quiere descargar (un troyano, un gusano, archivos, actualizaciones de un malware, etc.), y la utilidad genera automáticamente un fichero ejecutable que realiza todo el proceso de descarga.
Así ataca Mpack
El método de infección es bastante silencioso. Para conseguir que los usuarios ejecuten el código malicioso, los delincuentes utilizan varias técnicas. Cuando se trata de servidores web, suelen añadir una referencia de tipo iframe al final del fichero que carga por defecto y que apuntará a la página index del sitio donde está instalado Mpack.
También hay ocasiones en las que suelen usar ese mismo sitio hackeado para alojar el propio Mpack u otro tipo de malware. La razón de alojar malware en servidores de terceros es que, de esta manera, los ciberdelincuentes esperan dificultar su localización por parte de las autoridades.
Otro método de infección es introducir ciertas palabras, generalmente muy buscadas, en las páginas web donde están alojados. De esta manera, cuando la página se indexa en los buscadores, los usuarios que busquen esas palabras acaban en la página que contiene Mpack y se infectan.
Una cuarta forma es comprar dominios con nombres similares a sitios conocidos, como por ejemplo gookle, que solo se diferencia en un carácter del famoso buscador google. Los usuarios que se equivoquen en un carácter al escribir el nombre de este buscador podrían ser infectados.
Una última manera es enviar correos masivos a muchas direcciones de correo electrónico. Estos correos suelen contener enlaces y utilizan diversas técnicas de ingeniería social para que ser ejecutados.
Una vez ha llegado a una máquina, el exploit se ejecuta y guarda datos sobre el computador infectado (navegador, sistema operativo, etc.). Esa información, será luego enviada al servidor donde se almacenará.
PandaLabs ha realizado un completo estudio sobre Mpack que se encuentra disponible en la dirección http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf
Los usuarios que deseen comprobar si algún código malicioso ha atacado su PC pueden utilizar, de manera completamente gratuita, las soluciones online TotalScan o NanoScan beta, que se encuentran disponibles en la dirección www.infectedornot.com
