Geoff Down, de
Castlecops, comentaba hoy por la
APWG que en los scripts de un ataque phishing se había encontrado con una "lista negra" de hosts, tal que así:
$IP = getenv("REMOTE_ADDR");
$host = gethostbyaddr($IP);
$banhosts = array("scotiabank","netcraft.com", "ebay.com",
"panda.com","microsoft.com","fbi.gov", "google.com",
"msn.com","yahoo.com", "cia.gov", "$resuelveserver", "bankofamerica",
"mozilla", "viabcp", "veritas","nod32","antipishing","kapersky",
"norton", "symantec","rsasecurity", "bancopopular", "paypal",
"unicaja", "movistar", "banesto", "cajamadrid", "bancopastor",
"rsa.com", "symantecstore", "gfihispana", "fraudwatchinternational",
"verisign", "markmonitor", "anti-phishing", "pandasoftware",
"delitosinformaticos", "zonealarm", "alerta-antivirus", "vsantivirus",
"nortonsecurityscan", "hauri-la", "cleandir", "trendmicro", "mcafee",
"nod32-es", "pandaantivirus", "free-av", "grisoft", "bitdefender-es",
"sophos", "activescan", "avast", "bitdefender", "trendmicro-europe",
"clamav", "clamwin", "eset", "symantecstore", "f-secure", "hispasec",
"vnunet", "seguridad", "security", "monitor", "detector");
La idea de los atacantes es que si visitamos el sitio phishing desde una IP cuya resolución inversa contenga alguna de esas cadenas, en vez de visualizar la página fraudulenta, el servidor nos devuelve un error 404. En definitiva, que las entidades afectadas y empresas de seguridad no veamos el phishing y, por tanto, dificultar su detección temprana o que se tomen medidas de cierre al hacernos creer que es una dirección no operativa. Por la parte que nos toca, se han acordado de nosotros al meter "hispasec".
De la lista se pueden sacar algunas conclusiones. Que los phishers se dirigen, entre otras, a entidades españolas, que conocen empresas y sitios de seguridad hispanos, o que la lista está hecha a la ligera (una cosa son los nombre de dominios de las webs y otra muy distinta las IPs de salida hacia Internet con las que se navega o se monitoriza este tipo de incidentes). Aun así, es una estrategia a tener en cuenta. Otro mecanismo de control basado en la dirección del visitante, que se suele ver en los scripts de phishing, es mantener una "caché" de IPs para evitar "inundaciones", intentando impedir que desde una misma IP se pueda introducir de forma repetitiva datos falsos.
En el malware también se suelen ver estrategias similares, por ejemplo una lista negra de dominios para impedir su conexión, normalmente para filtrar los sitios webs de los antivirus y evitar que los usuarios infectados se puedan descargar un antivirus o actualizar el que ya posean. Desde hace unos años VirusTotal comparte también el "honor" de ser un habitual en esas listas junto a las principales casas antivirus. También hay troyanos que no funcionan si creen estar siendo analizados por una empresa de seguridad (típico caso de detección de máquina virtual), o los que son de un sólo uso, etc.
Afortunadamente siempre hay medidas contra las contramedidas, pero también surgen contramedidas contra las medidas de las contramedidas... así que el juego continúa.
