Legaturi mafiote intre autorii de malware şi furnizorii ilegali de produse farmaceutice

IronPort Research a descoperit legături între autorii de malware şi furnizorii online ilegali de produse farmaceutice.
Actualizarea din anul 2008 a Internet Security Trends Report analizează impactul atacurilor sofisticate bazate pe inginerii sociale generate de reţele bot IronPortR Systems, furnizor binecunoscut de soluţii de protecţie antispam, antivirus şi antispyware – în prezent componentă a Cisco – a anunţat astăzi că un studiu recent a identificat o legătură între autorii de malware, cum ar fi Storm, şi furnizorii online ilegali de produse farmaceutice care recrutează reţele bot (de computere zombi) pentru trimiterea de mesaje spam pentru promovarea site-urilor lor Web.
Convertind spam-ul în achiziţii de produse farmaceutice cu valoare mare, aceste companii furnizoare permit monetizarea reţelelor bot generatoare de spam, creând astfel o motivare enormă pentru profit a atacurilor din reţele bot. Într-o actualizare a raportului său anual Internet Security Trends Report, IronPort analizează impactul acestor reţele bot şi dă în vileag factorii reali de motivare a mesajelor spam despre anumite produse farmaceutice şi evoluţia continuă a programelor de tip malware.
„Cercetările noastre anterioare au identificat un lanţ logistic extrem de sofisticat în spatele produselor farmaceutice ilegale livrate în urma unor comenzi plasate pe site-uri Web farmaceutice canadiene cu spam de la reţele bot. Însă, până în prezent, relaţia dintre administratorii reţelelor bot care vizează tehnologii şi organizaţiile din lanţul logistic global a fost foarte puţin cunoscută. Cercetările noastre au identificat o „armă fumegândă” care indică faptul că Storm şi alte reţele bot de spam generează comenzi onorate ulterior de lanţurile logistice, aducând venituri care depăşesc anual 150 de milioane de USD.” (Patrick Peterson, Vice President of Technology, IronPort şi membru al conducerii companiei Cisco.
Studiul efectuat de IronPort arată că peste 80% dintre mesajele spam din reţeaua bot Storm fac publicitate online unor mărci farmaceutice. Acest spam este trimis de milioane de PC-uri infectate de viermele Storm prin intermediul unei multitudini de înşelătorii de inginerie socială şi exploit-uri bazate pe Web. Investigaţiile ulterioare au arătat că şabloanele de spam, adresele URL cu publicitate spam, structurile site-urilor Web, procesarea cardurilor de credit, onorarea comenzilor şi asistenţa pentru clienţi erau furnizate de o organizaţie infracţională din Rusia care conlucrează cu Storm.
Această organizaţie infracţională recrutează parteneri de spamming prin reţele bot pentru a face publicitate site-urilor farmaceutice ilegale, care primesc comisioane de 40% din valoarea comenzilor. Organizaţia oferă onorarea comenzilor de produse farmaceutice, procesarea cardurilor de credit şi serviciile de asistenţă pentru clienţi. Cu toate acestea, testarea farmacologică sponsorizată de IronPort a arătat că două treimi dintre produsele livrate conţineau ingredientul activ, însă nu în dozajul corect, iar restul erau pur şi simplu substanţe de tip placebo. În consecinţă, clienţii sunt expuşi riscului de a ingera substanţe necontrolate de la distribuitori de peste ocean. Detalii despre reţeaua bot Storm şi legăturile dintre aceasta şi lanţul logistic pot fi găsite în raportul special al IronPort intitulat „2008 Internet Malware Trends: Storm and the Future of Social Engineering”. De asemenea, în acest raport sunt identificate mai multe metode de utilizare a malware-urilor pentru infectarea PC-urilor în vederea evitării software-urilor de securitate.
Printre acestea se numără:

Spam-ul de e-mail
Reţelele bot sofisticate funcţionează împreună cu procese automate şi manuale de tip Captcha pentru crearea unui număr mare de conturi gratuite de e-mail. (Captcha este acronimul pentru „Completely Automated Public Turing Test to Tell Computers and Humans Apart”). Un test Captcha obişnuit solicită unei persoane să tasteze o serie de litere şi cifre afişate distorsionat pentru a se asigura că răspunsul nu este generat de un computer.) După ce se creează conturile, reţelele bot trimit spam utilizând aceste conturi, iar destinatarul spam-ului vede mesajele ca având drept sursă un server de e-mail al unui furnizor de servicii Internet legal, nu reţeaua bot. În primul trimestru al anului 2008, aceste atacuri de tip „furt de reputaţie” au reprezentat peste 5% din totalul de mesaje spam (comparativ cu mai puţin de 1% în trimestrul anterior).

Exploatarea motorului de căutare Google
Malware-urile de generaţia următoare folosesc opţiunea de căutare „I’m feeling lucky” („Mă simt norocos”) pentru a canaliza traficul către site-uri infectate. Se estimează că 1,3% din totalul căutărilor cu Google returnează ca rezultate valide site-uri conţinând malware-uri. Deoarece în fiecare minut se efectuează un număr enorm de căutări, utilizarea motorului de căutare Google oferă oportunităţi uriaşe pentru distribuitorii de malware.

Injectările iFrame.
Acestea sunt redirectări care apar atunci când un utilizator accesează un site Web care are încorporat cod rău intenţionat, de exemplu în JavaScript. Aceste site-uri pot apărea ca fiind site-uri binecunoscute şi „legitime” sau site-uri bot create în mod specific şi care apar în poziţii prioritare în rezultatele generate de motorul de căutare. JavaScript „spune” browser-elor să acceseze un fişier aflat pe alt server Web şi care găzduieşte troianul rău intenţionat, de obicei prin intermediul unui iFrame încorporat. Apoi troianul se instalează în fundal fără cunoştinţa utilizatorilor. Odată instalat, troianul poate efectua mai multe tipuri de activităţi rău intenţionate – de exemplu furturi de parole sau de date de sistem.
Reţelele bot analizate în raport sunt unice prin faptul că au corelat campanii de trimitere de mesaje spam cu evenimente curente sau cu site-uri Web de interes, utilizând pentru propagare o combinaţie de e-mail şi Web. În plus, aceste atacuri descentralizate şi extrem de coordonate au permis efectuarea unei mari diversităţi de atacuri prin Internet – spam de e-mail/blog, atacuri prin mesagerie instantanee (IM) şi atacuri de tip DDoS (blocare distribuită a serviciilor).
Malware-ul Storm a fost primul software din această serie de activităţi sofisticate de inginerie socială şi, conform cercetătorilor de la IronPort, a afectat, în perioada ianuarie 2007-februarie 2008, peste 40 de milioane de computere din întreaga lume. În perioada sa de activitate maximă – iulie 2007 – malware-ul Storm a generat mai mult de 20% din totalul de mesaje spam şi a infectat simultan 1,4 milioane de computere. Apoi, acest malware a continuat să infecteze lunar circa 900.000 de computere. În septembrie 2007, numărul de computere active simultan care au generat mesaje Storm s-a redus la 280.000 pe zi, iar numărul de mesaje spam generate a reprezentat 4% din totalul de mesaje spam. În prezent, mesajele Storm reprezintă doar o proporţie infimă din cele peste 161 de miliarde de mesaje spam trimise zilnic. Totuşi există variante de Storm care continuă să fie active.
Pe lângă evaluarea daunelor provocate de astfel de atacuri bazate pe inginerie socială, raportul detaliază tendinţele care prevestesc viitorul mesajelor spam şi al viruşilor precum şi măsurile pe care ar trebui să le ia companiile pentru a se asigura că reţelele lor sunt protejate. Actualmente, spam-ul nu mai reprezintă doar nişte mesaje agasante create de indivizi în căutarea celebrităţii. Spam-ul s-a transformat în eforturi organizate, bazate pe cunoştinţe tehnice şi bine structurate care sunt comparabile cu activităţile comerciale ale furnizorilor de software legitim. Pentru a-şi spori eficienţa şi profiturile, creatorii de malware-uri încep să-şi ofere produsele drept soluţii complete incluzând asistenţă tehnică, instrumente de analiză şi de administrare precum şi actualizări ale software-urilor. Printre cele mai recente malware-uri descoperite se numără Bobax, Kraken/Kracken şi Srizbi.

Pentru a preveni răspândirea reţelelor bot precum Storm şi succesorii săi, raportul IronPort recomandă ca fiecare companie să utilizeze filtre de spam, să îşi evalueze reputaţia Web, să monitorizeze activităţile porturilor şi cele de comunicaţii şi să-şi menţină actualizate toate produsele antivirus
şi antimalware.
Textul integral al raportului actualizat poate fi găsit la adresa Web http://www.ironport.com/trends.