Este nuevo
CrimeWare kit ha sido diseñado para filtrar el tráfico que accede al servidor
fraudulento donde está instalado.
No se trata
de un Firewall. Funciona a nivel de control de la navegación de usuario.
Dispone de
una base de datos de HoneyPots de 132k.
Su misión
es eliminar todo el tráfico que los criminales no consideren interesante, de
esta manera logran un alto numero de positivos en los impactos de sus paneles
de control maliciosos, eliminando una gran cantidad de ruido que repercute en
la eficiencia del Panel, así como también eliminar todos los impactos que
provengan desde direcciones especializadas en la investigación Malware y demás
casas de seguridad lucha contra el cybercrimen.
Las
primeras referencias de este KIT aparece en los foros underground rusos
especializados en este tipo de temas. Siendo su autor XShaman que también
diseño el antiguo KIT de propagación de exploits “Shaman's Dream” y que en esta ocasión lo
ofrece a “El precio de emisión 500”
tal como se observa en su anuncio en el foro:
De hecho si
se accede al panel de Control se observa una gran similitud con el Panel
del “Shaman's Dream”
Los
criminales solo necesitan instalar este kit AntiBot y modificar el archivo .htaccess
del servidor donde han montado la infraestructura para que todo el tráfico que
acceda a los paneles de control fraudulentos sea filtrado primero por el
Antibot Guard System.
El Panel
tiene funcionalidades para denegar el acceso desde todas las direcciones IP de
HoneyPots que tenga registrados. Así como especial protección contra GoogleBot
, Antiproxy , etc.
Permite
prohibir el tipo de navegadores del usuario: MSIE, Firefox, Opera , Chrome para
elegir o definir un navegador especifico.
Contiene un
modulo de Geolocalizacion por IP GeoIP, para especificar una lista de países
que se deseen eliminar el ruido del tráfico de la forma US,GB,CA,AU. etc;
Pantalla de
configuración del tráfico que se desee banear:
Este menu
solicita una contraseña extra de seguridad para evitar modificaciones por
personal no autorizado.
Incluso
deniega el tráfico si no tiene instalado el usuario la aplicación FlashPlayer ,
para la cual existen bastantes vulnerabilidades actualmente. Y prohibir
usuarios que contengan ciertas cookies en su navegación.
También
bloquea todas las peticiones que provengan de ciertas direcciones mediante el
análisis del parámetro Referer de la navegación del usuario, tales como las
direcciones de las Webs especializadas en recopilar datos de Malware Y
phishing:
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.