Entrevista con los creadores de Mpack: Somos como los fabricantes de munición


SecurityFocus publica una interesante entrevista con uno de los creadores de Mpack. Mpack es una infraestructura PHP creada para automatizar y centralizar ataques web. Genera exploits que, alojados en servidores web comprometidos, infecta a quien los visite eligiendo el fallo adecuado según el software que use la víctima. En un servidor centralizado monitoriza a los infectados y elabora estadísticas de éxito. La entrevista desvela algunos secretos sobre los creadores de esta herramienta de moda.





Mpack es la herramienta detrás del ataque a gran escala contra webs
europeas que afectó a miles de usuarios (y webs) a mediados de junio.
Hispasec tuvo acceso a este servidor y descubrió que una web española
estaba infectando a un gran número de usuarios. SecurityFocus ha
conseguido el contacto ICQ (a través de un anuncio en la web) de uno de
los creadores de la herramienta, un tal DCT. Después de dos semanas de
conversaciones, publica en forma de entrevista los detalles más
significativos que aquí a su vez destacamos y resumimos. Nuestras
aclaraciones aparecen entre corchetes.

Según DCT, el proyecto (llevado por tres personas fijas y algunos
esporádicos) comenzó en junio de 2006 como herramienta personal, pero no
fue hasta septiembre de ese año que se convirtió en producto comercial
[la versión 0.90 se vende ya por 1.000 dólares]. Comenzó en ruso, pero
cada vez son más los "clientes" de otros países interesados en él. En
parte DCT "agradece" a las compañías antivirus la "publicidad gratuita"
realizada a Mpack.

Para implementar su producto, mejoran los exploits públicos y estudian
el material "in the wild" para incorporar nuevas formas de aprovechar
vulnerabilidades. A veces incluso invierten, pagando por nuevas
vulnerabilidades. Según DCT, un fallo en Internet Explorer con buena
capacidad para ser aprovechado puede costar 10.000 dólares. Aun así
Mpack es rentable, no demasiado comparado con otras actividades en la
red, pero rentable. Mientras lo sea se mantendrá vivo, y lo mejorarán
todo lo que puedan (haciendo que se infecte el mayor número de personas
posible con mejores exploits). Además tienen otros proyectos en mente.
En cualquier caso, se muestra preocupado por la fama del producto, que
puede llevar a que sea cerrado algún día ante el mayor riesgo de ser
detenidos.

Para quien compra y usa Mpack, sí que es una herramienta muy rentable.
Según DCT sus clientes consiguen grandes beneficios con él. Se cuentan
por cientos de miles los servidores infectados (con el famoso iframe que
apunta al servidor Mpack central) que, al ser visitados, infectan a su
vez a los usuarios vulnerables.

A DCT no le gusta que le llamen "cibermafia". Se definen como un grupo
de personas que trabajan juntos y que hacen algunos negocios ilegales.
Tienen trabajos legítimos, y se ocupan de proyectos como Mpack en sus
ratos libres. [Otra historia es quiénes sean los que utilizan este pack
para atacar, que sí que pueden pertenecer a la industria del malware]

Ante la pregunta de si se "compadecía" de los usuarios infectados
gracias a su herramienta, responde: "Bueno, siento que somos como una
fábrica que produce munición".

Por último, ofrece un sabio consejo: el uso de Opera sin scripts ni
plugins activos [cabe recordar que Mpack aprovecha (sobre Windows)
vulnerabilidades en IE, en plugins de Firefox y plugins en versiones
antiguas de Opera] puede librarte de caer infectado ante alguna
vulnerabilidad distribuida a través de Mpack.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3195/comentar

Más información:

Newsmaker: DCT, MPack developer
http://www.securityfocus.com/news/11476/1

21/06/2007 Resaca del ataque masivo a través de webs comprometidas
http://www.hispasec.com/unaaldia/3162

19/06/2007 Alerta: Ataque a gran escala contra webs europeas afecta a
miles de usuarios
http://www.hispasec.com/unaaldia/3160

Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Desvelando el virus Stuxnet - Cyber-Espionaje
El experimentado analista antivirus Roel Schouwenberg discute las complejidades del misterioso ataque del gusano Stuxnet....
Wine 0.9.54, disponible con soporte para Photoshop CS2
Nueva versión para el excelente traductor entre el API de Windows y los sistemas operativos basados en UNIX. ...
Piensa 2 veces antes de bajar aplicaciones a tu #iPhone
Un error en el sistema operativo móvil de Apple permite a los piratas informáticas tomar el control de aplicaciones para el iPhone y el iPad y utilizarlas para robar fotos, contactos e incluso enviar mensajes de texto, sin que el usuario del dispos...
Nuevo parche acumulativo para Internet Explorer
Microsoft publica un nuevo parche acumulativo para Internet Explorer 5.5 y 6.0. Además de incluir las funcionalidades de todos los parches previamente publicados para Internet Explorer 5.5 y 6.0, también elimina una nueva vulnerabilidad en el model...
Crecen estafas al enviar SMS a páginas de descargas de software
En principio la obtención del programa se anuncia como gratuita, pero después se obliga a pagar al usuario, que no siempre recibe la descarga....
¿Qué es una vCard - Tarjeta de Presentación Electronica (VCF)?
Es un formato estándar que reúne todos los datos de una persona. Esto supone que, después de encontrar a una persona en nuestro directorio, puedes importar sus datos a libretas de direcciones que sean compatibles con vCards, como Netscape Communic...
Video: infección a través de técnicas de BlackHat SEO
Luego del alerta que se publicó sobre el video falso de Berlusconi que propaga malware, ESET-LA ha realizado un video educativo para mostrar en un formato multimedia cómo son las etapas de este tipo de ataques....
Dropbox investiga una posible brecha en su servicio
Dropbox está comprobando todos sus sistemas para determinar si han podido sufrir algún tipo de ataque en los últimos días. La compañía ha comentado que no se ha registrado actividad sospechosa, pero las denuncias de usuarios que han comenzado a...
El downloader más pequeño del mundo
Gil Dabah ha propuesto un desafío que consiste en crear el downloader (descargador automático) más pequeño posible para Windows. Por ahora, ha conseguido un ejecutable de 304 bytes capaz de descargar un archivo desde Internet y ejecutarlo...
Nueva versión Thunderbird 2.0.0.18
Tras el lanzamiento de las nuevas versiones de Firefox la semana pasada, para esta semana la fundación Mozilla ha actualizado otro de sus programas, se trata de Thunderbird, cuya actualización tiene por objetivo corregir algunos fallos....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • creadores
  • debian
  • entrevista
  • exploits
  • fabricantes
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mpack
  • municion
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • somos
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra