Su sitio web es una parte importante de la reputación de su marca. Sirve como un lugar para construir su público y le ayudar a ser notado por los nuevos visitantes procedentes de los motores de búsqueda. Usted pasa mucho tiempo trabajando duro para construir su autoridad y fiabilidad, cuando sus páginas se clasifican suficientemente bien, eso trae nuevos desafíos. Los spammers pueden plagiar su contenido original con fines maliciosos.
Nuestro equipo de marketing supervisa los menciones de Sucuri en Internet. Un día, nos informaron sobre un Alerta de Google relacionado a un Google Doc muy sospechoso:
Spam Scraped en un Google Doc
El documento era el 100% spam y tenía tres páginas. Dos de ellas consistían en frases al azar acerca de la seguridad que parecían haber sido scraped (copiadas) de Títulos y Descripciones de varias páginas de resultados de búsqueda.
En la primera página había una pequeña captura de pantalla de baja calidad de la página del SiteCheck de Sucuri (también sacadas de los resultados de búsqueda de imágenes de Google) mostrando links de “Download Now”.
Redireccionamientos y Redireccionamientos
Los links de Descargar Ahora lleva a los visitantes a una ruta larga de redireccionamientos.
Al hacer clic en el link, primero aparece una URL de Google App Engine:
- hxxp://pivwin2 .appspot . com/dn?k=Software+to+scan+website+for+malware,
Eso, a su vez, vuelve a dirigir a otro subdominio:
- hxxp://tmpslv2 . appspot . com/hello?k=Software%20to%20scan%20website%20for%20malware,
Entonces va a otro dominio, incluso con la misma cadena de palabras clave:
- hxxp://www.mypromediastoretwo . com/02000/download.php?id=2000&name=Software%20to%20scan%20website%20for%20malware,
Después, espera 5 segundos antes de redireccionar para un link de afiliados:
- hxxp://www .download-genius . com/download-k:Software-To-Scan-Website-For-Malware.html?aff.id=5929&aff.subid=2000
Que, finalmente, redirecciona a un sitio que pide un registro para hacer una “descarga”:
- hxxp://superior-download . com
Complicado, ¿no?
El Agente de Usuario es Importante
Las cosas se ponen aún más complicadas cuando empieza a jugar con la cadena de caracteres del Agente Usuario del navegador. La cadena de redirección de arriba es lo que noté en Firefox usando Mac.
Cuando usé Internet Explorer en Windows lo que apareció fue:
- hxxp://pivwin2 .appspot.com/dn?k=Software+to+scan+website+for+malware
- 302-> hxxp://tmpslv2 .appspot .com/hello?k=Software%20to%20scan%20website%20for%20malware
- 302 -> hxxp://www .mypromediastoretwo .com/02000/download.php?id=2000&name=Software%20to%20scan%20website%20for%20malware
- Download Automático do “Software To Scan Website For M Downloader.rar” a partir do hxxp://mymediadownloadstwentyfive . com/?dmV…skipped_long_string
Sigue el análisis de VirusTotal del archivo descargado – Tasa de Detección: 6/54.
Firmas de malware como “AdWare.Amonetize” nos da una idea del tipo de problema que hemos descargado .
Ahora vamos a desvelar y analizar las cadenas de redirección .
Download-Genious y Media Klondike
Empezamos por download-genious y superior-download.
Estos sitios afirman que uno descarga lo que está buscando, incluso si eso no existe (por ejemplo, “los ganadores del Oscar mejores películas de 2018”). Falsas estadísticas y testimonios no suman más credibilidad a las reivindicaciones.
Encontré la página del download-genius con links de “download” reales. El link “principal” era para download5-cdn .com y el link “mirror” para letshareus .comDespués de una nueva serie de redirecciones, ambos descargaron el mismo archivo. El archivo fue detectado como malicioso por 8 programas de antivirus. De nuevo, “AdWare.Amonetize“. Eso no me sorprende en absoluto.
De acuerdo con los links, estos sitios están afiliados a “MediaKlondike”:
Media Klondike v2.0 es una nueva versión de un programa de afiliados. Usted recibirá una comisión por cada solicitud que se refiere a nuestros sitios web, que ofrecen a sus visitantes una enorme base de datos de películas, música, juegos, programas de televisión, etc.
El programa de afiliados tiene los siguientes términos :
Tráfico adulto o spam de qualquer tipo son proibidos. El tráfico debe ser real, sin bots o compras falsas.
Parecen ser sólo palabras…
Sitios de Búsqueda de Medios
Los sitios download-genious y superior-download esconden sus direcciones reales utilizando un firewall. Otros sitios, como www .mypromediastoretwo .com (91 .226 .32. 97) o mymediadownloadstwentyfive . com (95. 211. 148 .47) revelan sus IPs reales.
Buscando otros sitios con esos IPs, observé que todos son los mismos sitios “Media Search” y “Free Download” que ofrecen links maliciosos a casi cualquier consulta de búsqueda.
Redes de Scam de Descarga
La investigación reveló otros servidores como éste.
91.226.32.97
91.226.32.96
91.226.32.95
91.226.32.94
91.226.32.22
91.226.33.75
91.226.33.76
91.226.33.77
95.211.148.47
195.226.218.218
5.61.32.34
213.174.130.176
Algunos de los dominios:
allfilesdownload .us
androidepisode .com
bestbooksfiles .com
greataudiosdownloads .com
greatvideosdownloads .com
mediasearchdirect .com
mfileshare .com
morenewmedianow .com
mydigitalfinderone .com
newfastmediasearcher .com
onlinebooksfiles .com
promediasearch .com
starmediasearcher .com
saveclip .net
urlmediafiles .com
worldbooksdownloads .com
yourfreemediadownloads .com
yournetmediastore .com
yourpromptdownloader.com
yoursoftwareplace .com
...and many more
Es fácil ver que estos malhechores usan la misma técnica para crear nombres de dominios únicos, añadiendo números diferentes al final de los dominios existentes. Por ejemplo, ellos tienen estos dominios:
- www .mymediasearchnow .com
- www .mymediasearchnowone .com
- www .mymediasearchnowtwo .com
Todos los dominios se registraron mymediadownloadsone .compor mymediadownloadsthirtyfive .com y se cambian para reducir al mínimo las posibilidades de entrar en listas negras. Cuando escribí el post,
mymediadownloadstwentyfive .com estaba activo.
Sitios Doorway
Además de Google Docs, los hackers utilizan granjas de spam creadas específicamente para llevar a los visitantes que utilizan motores de búsqueda para sus sitios de descarga. Tienen páginas que han sido optimizadas para determinadas palabras clave sin contenido significativo. Para los visitantes reales en sistemas operativos específicos, los atacantes utilizan JavaScript para cargar sitios web falsos para descargar frames completos de ventanas. Alternativamente, un atacante podría provocar que el sitio se vea como un foro con links de descarga sitio o un sitio de revisión de software.
Al igual que con los sitios de búsqueda de medios, por lo general estos sitios de spam ocupan servidores enteros y algunas direcciones IP:
91.211.142.11
91.215.155.250
62.109.28.121
62.109.13.23
217.12.204.238
149.154.70.243
...
Siguen algunos ejemplos de sitios de spam:
bakutourism .tk
dostmix .tk
heyacan .tk
kaspi .tk
ivmi-motors .ru
mft-group .ru
jackpotcruise .ru
gcp-trial .ru
alabugatrud .ru
kmdpqs .cf
kmdqhjg .cf
kmgykk .cf
mezlsx .cf
myahh .cf
nwtbllu .cf
fianewscrowrom .science
griptigeschlu .science
flapviphadis .science
feileholmming .science
stanateaspos .science
rossdrumilous .science
...
Es fácil encontrar patrones en los nombres de dominio de sitios de spam:
- Dominios expirados de sitios reales rusos que acabaron de ser registrados: e.g.: correalty . ru o tomskytools .ru.
- Dominios de baja calidad .tk registrados en 2012-2013, como bakutourism .tko kaspi .tk.
- Nombres de dominios curtos .cf completamente al azar, como fyoaqe .cfo acsdw .cf.
- Palabras artificiales en dominios .science como stanateaspos .scienceo anuracmo .science
Redireccionadores de Google App Engine
Ahora, vamos volver a los links del documento de spam de Google Docs.
pivwin2 .appspot . com / tmpslv2 .appspot.com no fue el único par de Google App Engine applications que redirigían a sitios de descarga de medios falsos.
Cuando hicimos esta búsqueda, [site:docs.google.com “Download Now”] nos encontramos con muchos otros documentos de Google creados por esta campaña. Sus links usan varios otros subdominios appspot.com (App Engine application ids). Es fácil ver que todos tienen números al final:pivwin2, ghpnc9, ccorst5, etc. Además, hay ids para cada número del 1 al 12. La campaña puede utilizar cualquiera de ellos:
ccorst1 .appspot .com through ccorst12. appspot .com
dndbinn1 .appspot .com through dndbinn12. appspot .com
dnmake1 .appspot .com through dnmake12. appspot .com
frdxin1 .appspot .com through frdxin12. appspot .com
ghpnc1 .appspot .com through ghpnc12. appspot .com
ipowmax1 .appspot .com through ipowmax12. appspot .com
jotjdn1 .appspot .com through jotjdn12. appspot .com
...
Todos redireccionan para tmpslv2 .appspot .com,pero es posible usar tmpslv1 .appspot .com o tmpslv3. appspot .com como redireccionadores de segundo nivel.
Luchando contra “Softwares No Deseados”
Muchos tipos de “softwares no deseados” se han convertido en problemas comunes, por eso Google empezó a luchar contra ellos hace un año. Esas redes de “descarga/búsqueda de medios” están en la definición de Google de UwS. Incluso sin la instalación de los archivos descargados, sabemos que el sitio utiliza
“prácticas de descarga de softwares maliciosos” y lo “medio” que ofrecen tiene las siguientes características:
- Es engañoso, promete algo que no hace.
- Engaña al usuario para instalar o usar otros programas.
- No informa al usuario de sus funciones principales o más importantes.
Irónicamente, esta misma campaña UwS utiliza activamente otros recursos de Google para distribuir malware:
- Poisoned search results
- Documentos de Google Docs con Spam
- Redireccionadores de Sapm en Google App Engine.
Claro, no es la única campaña de su tipo y ni siquiera es la más elaborada. Pero nos ayuda a comprender las tácticas empleadas por estas campañas. Esperamos que hablar de ello ayude a entender cómo funcionan estas campañas y a eliminarlas de la web de forma más eficiente.
Résumen
En empresas como Sucuri, incluso los procedimientos de rutina pueden dar lugar a investigaciones de seguridad graves. En ese momento, un signo de nuestro equipo de marketing nos ayudó a descubrir una red de sitios que distribuyen software no deseadoa de múltiples niveles.
Fuente:https://blog.sucuri.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
