Entradas con la etiqueta ‘ILoveYou’

Psicología de los mensajes de correo maligno I

Sábado, 16 de Junio de 2001

#####################################
## HACKINDEX ##
## http://www.hackindex.org ##
#####################################
Titulo: Psicología de los mensajes de correo maligno I
Autor: Lokutus
Tema: Virus y gusanos

La información incluída en este documento es expuesta en base a un interés educativo. HackIndex no se hace responsable del uso de dicha información.

El siguiente documento es propiedad de HackIndex y de su autor, pudiendo ser distribuído de forma totalmente libre y sobre cualquier tipo de soporte siempre y cuando se respete el formato original, se cite a A.H.E. como fuente, se incluya un enlace actualizado al documento o a la web del grupo: http://www.hackindex.org ; y se incluya este disclaimer en su totalidad y sin modificación alguna.

Queda extrictamente prohibida su distribución con fines lucrativos, cuando se altere su contenido sin consentimiento o cuando se incumpla cualquier otra condicion citada anteriormente en el presente disclaimer.
#####################################

ADVERTENCIA: El presente artículo y todos los que continuarán en esta serie con el mismo título, se envían únicamente con fines didácticos y educativos, no siendo mi intención animar a nadie a cometer delitos relacionados con la transmisión de mensajes de correo malignos (*) del tipo”iloveyou” o  “timofónica”.

(*) De ahora en adelante los llamo MCM para abreviar.
1 – INTRODUCCION

En este primer mensaje me centraré en el diseño “psicológico” de un posible MCM y una introducción a lo que serían las carácterísticas de diseño, en la segunda parte, se desarrollarían aquellas partes de codigo que considero interesantes, aunque eso sí, sin acabar nunca de desarrollar el MCM, de tal forma que el código enviado como ejemplo sólo pueda ser utilizado por personas con conocimientos suficientes para comenzarlo desde el principio y evite la transmisión de MCM por parte de “lamers” o gente que quiera usarlo de forma personalizada para realizar venganzas personales.

En la tercera parte, propondré posibles soluciones, algunas de ellas ya existen. El conocimiento es una de esas soluciones, la ignorancia es uno de los principales factores que intervienen en la propagación de MCM y virus en general.

De esta primera parte, considero muy util su divulgación, lectura e incluso debate, pues considero que es mejor adelantarse a lo que puede venir que ser pillado por sorpresa.
2 – LOS MCM HASTA AHORA

Hasta ahora los MCM tenían características similares a la siguiente.

- Utilizaban un engaño basado en la ocultación de extensiones de ficheros, por ejemplo:

Un fichero con el nombre “pepe.txt.exe” se vería como “pepe.txt”

- Algunos de esos MCM, (los ejecutables con extensión exe), usaban un icono como el que usa el editor de Windows para reforzar el engaño.

-  Los más utilizados hasta ahora han sido los “.EXE” y los “.VBS” de tal forma que mucha gente evita como la peste esas extensiones y algunos desarrolladores, están empezando a usar otras extensiones. Como es el caso del LifeStages que utiliza una extensión .SHS

- Normalmente utilizan toda la ingeniería social que pueden, como es el caso del ILOVEYOU.

- Hasta ahora, se trataba de un único fichero, el que se enviaba.

- En algunos, tratan de evitar su desactivación, copiandose a muchos sitios diferentes, y alterar varias entradas del registro.

- En la mayoría de los casos, en el momento en el que llega a la cuenta de correo de un usuario experto, la existencia del MCM es descubierta en el entorno en el que se mueve ese usuario experto, y en algunas ocasiones, por las empresas desarrolladoras de antivirus.

- Excepto en algunos pocos casos, suelen utilizar el interfaz MAPI como mecanismo de envío de mensajes. Lo que hace que no pueda propagarse en aquellas máquinas de usuarios de otros lectores de correo.

- Normalmente, se envían a direcciones de la carpeta de direcciones, y de uno en uno.

3 – COMPORTAMIENTO DE LOS USUARIOS DE EMAIL.

Este apartado, está basado en cuanto a mi experiencia propia, viendo en muchas ocasiones qué tipo de correos se envían y reciben en los centros de trabajo donde disponen de correo electrónico, y de varias listas de correo informales y puede diferir con lo experimentado por otras personas.
- En general, la mayoría de los usuarios saben que no deben abrir cualquier cosa que se les envíe, sobre todo de desconocidos.

- Es corriente, que formen grupos de amistades, y se envíen chistes, fotos, (pornográficas o humorísticas o salvajes), ficheros mpeg o avi con anuncios graciosos.

- Antes he comentado que los MCM solían tener un único fichero adjunto, (que yo sepa), y sin embargo, en los mensajes de correo que se suelen enviar entre amiguetes, es normal que haya 4 ficheros jpeg. o tres ficheros de texto repletos de chistes. o un par de zips, e incluso uno o dos mpeg, (o uno sólo si es muy grande).

- A veces, suelen enviar en mensaje de correo, dentro de otro mensaje de correo, (no recuerdo las cabeceras de los mensajes salvados del OutLook), pero suelen aparecer como un icono.

- Sigue siendo corriente que se sigan enviando ficheros ejecutables EXE, la mayoría de estos ficheros suelen contener animaciones hechas con aplicaciones del tipo Macromedia. (Un ejemplo de lo que digo es la película completa en dibujos animados de la guerra de las galaxias que está en noticias.com).

- Los “emails lúdicos”, generalmente, suelen tener varios destinatarios, y no uno sólo, como suele ser el caso de los MCM.
4 .- CONSIDERACIONES DE INGENIERIA SOCIAL EN LA TRANSMISION DE UN MCM

Para que un MCM tenga éxito:

- Debe ser capaz de engañar al máximo posible al usuario que lo recibe, inspirandole la suficiente confianza para que pinche en el icono.

Por ese motivo, debe llegar de personas con las que normalmente se intercambia correo de tipo lúdico, no de trabajo. Por ejemplo, en el caso del “ILoveYou”, es difícil se engañado si llega de alguien con quien sólo tienes relaciones por correo de trabajo.

- Debe tratar de evitar en la medida de lo posible, el ser descubierto, y para ello, debe ser capaz de dar lo que se espera que dé.

Por ejemplo, en el MCM “timofónica” y en el “LifeStages”, el usuario espera que se abra el notepad con un mensaje de texto plano, y efectivamente es lo que hace.

- Algunos usuarios se dan cuenta enseguida de que han ejecutado un MCM cuando la bandeja de salida se les llena de mensajes. Quizás sería una buena táctica no ser tan agresivo a la hora de enviar mensajes, y enviar pocos y mejor encaminados.

- En lugar de usar la libreta de direcciones, podría mirar los mensajes que están en la carpeta de mensajes enviados.

- Podría incluso contestar a los mensajes que están en la bandeja de entrada.

- El MCM podría llegar acompañado de varios ficheros, y al reenviarse, hacerlo con esos ficheros.

- Combinaciones interesantes podrían ser:

Enviar dos ficheros de texto con chistes, y el tercero un vbs.txt que genera el tercer fichero de texto.
Enviar tres o cuatro jpeg, y entre medias un gif.vbs.

(en algunos clientes los jpeg se visualizan sin siquiera abrirlos, sería sospechoso que un jpeg se viese y otro no, por eso lo cambiaría a otra extensión, por ejemplo gif o incluso html.
Y ahora bien, la ingeniería social está en:

“Me llega un mensaje que es una contestación a otro que he enviado y con varias fotos, no hay alarma, a pinchar tranquilamente”
5 – CONSIDERACIONES DE DISEÑO.

Si fuese lo suficientemente perverso como para crear un MCM entero, lo haría de esta manera:

- Lenguaje de programación: JavaScript, tiene las mismas capacidades que el VBS, pues al estar soportado por WSH, dispone de las mismas capacidades que el VBS, (Acceso al registro de Windows, utilización de Active X, manejo de ficheros, etc).

- Búsqueda y uso de  SMTP  para envío de mensajes de correo electrónico, usando para ello el OCX de manejo de sockets. En el caso de que no funcione ninguno de los SMTP de la lista, (malditos spammers), o no se encuentre el OCX adecuado usará el ya conocido interfaz MAPI.

- El MCM tendrá la forma .gif.js, al ser ejecutado, generará un gif de pequeño tamaño.

- Investigación del formato en el que guardan los mensajes de NetScape y busqueda en la estructura de ficheros, para recuperar direcciones.

- retardo de 24 horas en el envio de mensajes.

- Envío de SMS, usando un camino alternativo al usado por el MCM “timofónica”, utilizando un CGI o accediendo a una web, (Sólo si se encuentra el OCX de TCP/IP).

- PAYLOAD:  Llevar la cuenta de ejecuciones, cuando lleve 10, crear un fichero HTML en el disco duro y llamar al navegador por defecto para que lo abra, el HTML tiene un bucle sin fin que abre ventanas.
En el artículo siguiente sólo trataré los módulos:

Envío de un mail por MAPI usando JavaScript.
Envío de un mensaje por SMTP usando JavaScript.
Detección de que una cuenta de correo existe, usando SMTP, este último punto no es necesario,
pero lo veo interesante, incluso para ser utilizado como una utilidad separada.

Y quizás en otro mensaje aparte que no tiene nada que ver con este, y si nadie se me adelanta, ;-) , envío de SMS sin usar el servicio Mail2SMS de movistar.

  • Share/Bookmark

Etiquetas:, , , , , , , , , , ,
Publicado en Articulos, Cursos, Virus y gusanos | 1 comentario »