Entrevista con los creadores de Mpack: Somos como los fabricantes de munición


SecurityFocus publica una interesante entrevista con uno de los creadores de Mpack. Mpack es una infraestructura PHP creada para automatizar y centralizar ataques web. Genera exploits que, alojados en servidores web comprometidos, infecta a quien los visite eligiendo el fallo adecuado según el software que use la víctima. En un servidor centralizado monitoriza a los infectados y elabora estadísticas de éxito. La entrevista desvela algunos secretos sobre los creadores de esta herramienta de moda.





Mpack es la herramienta detrás del ataque a gran escala contra webs
europeas que afectó a miles de usuarios (y webs) a mediados de junio.
Hispasec tuvo acceso a este servidor y descubrió que una web española
estaba infectando a un gran número de usuarios. SecurityFocus ha
conseguido el contacto ICQ (a través de un anuncio en la web) de uno de
los creadores de la herramienta, un tal DCT. Después de dos semanas de
conversaciones, publica en forma de entrevista los detalles más
significativos que aquí a su vez destacamos y resumimos. Nuestras
aclaraciones aparecen entre corchetes.

Según DCT, el proyecto (llevado por tres personas fijas y algunos
esporádicos) comenzó en junio de 2006 como herramienta personal, pero no
fue hasta septiembre de ese año que se convirtió en producto comercial
[la versión 0.90 se vende ya por 1.000 dólares]. Comenzó en ruso, pero
cada vez son más los "clientes" de otros países interesados en él. En
parte DCT "agradece" a las compañías antivirus la "publicidad gratuita"
realizada a Mpack.

Para implementar su producto, mejoran los exploits públicos y estudian
el material "in the wild" para incorporar nuevas formas de aprovechar
vulnerabilidades. A veces incluso invierten, pagando por nuevas
vulnerabilidades. Según DCT, un fallo en Internet Explorer con buena
capacidad para ser aprovechado puede costar 10.000 dólares. Aun así
Mpack es rentable, no demasiado comparado con otras actividades en la
red, pero rentable. Mientras lo sea se mantendrá vivo, y lo mejorarán
todo lo que puedan (haciendo que se infecte el mayor número de personas
posible con mejores exploits). Además tienen otros proyectos en mente.
En cualquier caso, se muestra preocupado por la fama del producto, que
puede llevar a que sea cerrado algún día ante el mayor riesgo de ser
detenidos.

Para quien compra y usa Mpack, sí que es una herramienta muy rentable.
Según DCT sus clientes consiguen grandes beneficios con él. Se cuentan
por cientos de miles los servidores infectados (con el famoso iframe que
apunta al servidor Mpack central) que, al ser visitados, infectan a su
vez a los usuarios vulnerables.

A DCT no le gusta que le llamen "cibermafia". Se definen como un grupo
de personas que trabajan juntos y que hacen algunos negocios ilegales.
Tienen trabajos legítimos, y se ocupan de proyectos como Mpack en sus
ratos libres. [Otra historia es quiénes sean los que utilizan este pack
para atacar, que sí que pueden pertenecer a la industria del malware]

Ante la pregunta de si se "compadecía" de los usuarios infectados
gracias a su herramienta, responde: "Bueno, siento que somos como una
fábrica que produce munición".

Por último, ofrece un sabio consejo: el uso de Opera sin scripts ni
plugins activos [cabe recordar que Mpack aprovecha (sobre Windows)
vulnerabilidades en IE, en plugins de Firefox y plugins en versiones
antiguas de Opera] puede librarte de caer infectado ante alguna
vulnerabilidad distribuida a través de Mpack.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3195/comentar

Más información:

Newsmaker: DCT, MPack developer
http://www.securityfocus.com/news/11476/1

21/06/2007 Resaca del ataque masivo a través de webs comprometidas
http://www.hispasec.com/unaaldia/3162

19/06/2007 Alerta: Ataque a gran escala contra webs europeas afecta a
miles de usuarios
http://www.hispasec.com/unaaldia/3160

Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Se intensifica el debate europeo sobre ACTA
La Ley antipiratería ACTA continúa debatiéndose en Europa. Tras firmar la Ley el pasado mes de enero, en junio el Parlamento Europeo tendrá que ratificarla. Mientras, los detractores continúan demandando el cese de esta Ley a la que consideran a...
OpenOffice soluciona seis vulnerabilidades
Se lanza una nueva actualización de seguridad para la suite de productividad gratuita OpenOffice....
Gusano aprovecha servidores mal configurados de JBoss AS
Un gusano aprovecha para infectar servidores que ejecutan JBoss Application Server (JBoss AS) con una incorrecta configuración de seguridad o en los que no se han aplicado los parches de seguridad publicados....
Adobe Flash Player Android - corrige vulnerabilidades
La compañía Adobe ha lanzado una actualización de la versión de su software Flash Player para dispositivos con Android. La nueva versión pretende corregir una vulnerabilidad que se había dado a conocer hacer algunos días. La nueva versión es ...
Outlook, afectado también por el bug que Microsoft no reconoce
Ya no son sólo Firefox, mIRC, Miranda, Netscape y Acrobat los afectados por el bug en el manejo de URIs en sistemas Windows XP SP2 con Explorer 7....
Nueva versión PHP 5.3.8 corrige un fallo de 6 días atrás
El pasado día 17 de agosto, php.net publicó la nueva versión estable (5.3.7) del popular lenguaje de programación PHP. Incluía la corrección de un error de seguridad en la función crypt al utilizarse para generar contraseñas con sal que podr...
Microsoft: Las vulnerabilidades O-DAY no son tan especiales
Los ataques de ingeniería social y de AutoRun, o de ejecución automática, son mucho más utilizados para atacar los sistemas y redes de las empresas que los ataques de Día Cero....
Tres códigos maliciosos y tres maneras diferentes de propagarse
Spida.B, W32/Kazoa y VBS/Chick.E, tres gusanos informáticos que se propagan a través de servidores que tengan instalada la aplicación Microsoft SQL, utilizando una aplicación para intercambiar ficheros denominada Kazaa, y a través del correo e...
ALERTA!!! Shakira circula por Internet en forma de virus
Shakira no es sólo el nombre de una popular cantante colombiana, sino también un virus que se transmite a través de mensajes de correo electrónico y vía Chat mIRC. Para hacer caer a los usuarios, el mensaje afirma contener fotografías de la art...
Lista la versión 3 de la GNU General Public License
El texto final de la GPLv3 viene acompañada de un documento explicativo de los cambios introducidos al borrador. Bajo ella, se ofrece también, por primera vez de forma integrada, la Lesser GNU GPL....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • creadores
  • debian
  • entrevista
  • exploits
  • fabricantes
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mpack
  • municion
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • somos
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra