In continuation with the previous post, which spoke about Fake Pharmacy , this post is about comparing the domains related to Fake Pharmacy and Malware Domains.
Business Model
Fake Pharmacy vs Malware Domains
Both these campaigns begin with
a: hacked server – to provide the redirection script to the hosted server.
b: hosted server for content , wrt malware domains it is mostly CnCs which require a stable domain / IP address which cannot be taken-down and with Fake Pharmacy they need a domain registrar/affiliate domain registrar, who will dilly-dally/be reluctant to take-down notices.
However, there is one thing which is common – both these campaigns require a stable server / IP address which will be difficult to clean/ takedown.
When it comes to malware campaigns some of the campaigns are based on affiliates, however fake pharmacies are 100% affiliate program based. These affiliate programs act as a rewards program for the efforts undertaken by the persons/groups to promote the domain and it so called services.
One may treat these efforts as marketing strategies for ensuring that wider audience is targeted . The payload of these targeted attacks is either a malware / fake pharmacy.
Effectively, we have a group which sends out spam mails.
Examples of affiliates in malware campaigns:
For past few weeks I have been very closely following a malware campaign, which also resulted in procurement of 400+ malicious Java files from the staging servers, which were a part of this campaign. These samples were then subsequently shared with the other AVs.
In this example, we will be taking a look into a particular URL schema which is being actively used “hxxp://domain.tld/?a=YWZmaWQ9MDE3ODg=” where the trailing string after “?a=” is a Base 64 encoded string. When this string is decoded what we get is “affid=01788”. There are other strings which you may consider decoding
?a=YWZmaWQ9MDEwMDA= , decoded to “affid=01000”
?a=YWZmaWQ9MDA2MDE= , decoded to “affid=00601”
?a=YWZmaWQ9MDAzMzM= , decoded to “affid=00333”
Now to some interesting stuff, in order to find the domains associated with these encoded strings, we can use google to search for them. Subsequently, one may also look into the IP addresses, NameServers and the registrars of these domains.
Name-Server is another aspect which is common to both, and from one domain it is possible to find all the malicious / fake-pharmacy domains based on
a: IP Addresses
b: Name-Servers
These guys, they need something which is common and consistent, as it makes their life easy when it comes to deployment.
So, we can safely assume that malwares are using affiliate programs to propagate infections. Others may offer a different opinion about the usage of “affid=” and I would like to hear about them.
Life of a Domain
The life of a domain is defined by its usability and exposure a domain garners during the entire period. However, this is true for commercial / legit domains but not for Fake-Pharmacy and Malware domains.
Malware Domains: Since most of the online lists cater to detection of malware domains, the life of such domains is very low – hardly a week or so or maybe even less. Most of the AVs rely on static detection and whenever a domain makes it into one of the online block list, these lists are deployed worldwide. Hence, due to this fact, malicious actors will always switch the domains and newer domains are registered , however, the IP address on which the payloads are hosted, remain the same for a pretty long time , in many cases more than 30 days.
However, when you look into the domains specially crafted for deploying Fake-AVs, they have a very long life as compared to other malware domains.
Fake Pharmacy: Fake pharmacy is dependent on Internet users who would either receive pharmacy related emails or would use any popular search engine to search for pharmacy related products. Due to which, the fake-pharmacists will never want their domains
1: expire.
2: taken-down by authorities.
The same holds true for Fake-AVs. Now search for “online pharmacy” to find an original legit pharmacy, dont be surprised by the results, legit pharmacies are really difficult to find, especially when most of the pharmacies are promoting themselves as “No Prescription Needed” and in the shipment policy states that deliveries will late as these drugs are shipped from India.
Note: This domain was chosen on random based on the catchy line “No Prescription Needed” and from the second page of Google Search.
https://www.onlinepharmacycheappills.com/ – upon clicking “Visit Pharmacy” the site redirects to : https://www.pillsarena.com/ – clicking on “Affiliates”, the site redirects to : “https://www.rxprofits.com/” .
Looking into these sites, I have absolutely no idea whether to treat these sites as legit pharmacies or fake. However, when we take a closer look into the whois records:
Domain name: onlinepharmacycheappills.com
Status: Active
Protection Status: public
Registrant:
Name: Samuil S Chesnokov
Organization: Private Person
Address: ul. Krolewska 44
City: Grudzi??dz
Province/state: NA
Country: PL
Postal Code: 86-301
email: pharm.xr@gmail.com
Create: 2013-03-01 16:07:22 —> 3 days old. I would say a terrific SEO agent ensuring the domain lands up on the second page of the search engine.
Domain Name: pillsarena.com
Created On: 2012-03-11
Protected by PrivacyGuardian.org
Domain: rxprofits.com
Record last updated 10-30-2012 05:39:31 AM
Record expires on 01-09-2014
Record created on 01-09-2012 —> Registered for 2 years.
Now we conduct our online search for the registrant email-id and here are the results for your perusal.
Some Online Reports:
https://www.malwareurl.com/listing-urls.php?page=11&urls=off&rp= –> provide the domain onlinepharmacycheappills.com and solve the captcha
https://scamfraudalert.org/2013/01/10/buyviagraonlinei-com/ —> verify the registrant email-id
Hence, based on the redirect-links provided, the whois records and online reports, we can assume that
1:All these pharmacy sites are inter-related
2:Usage of Affiliate program is prevalent in Fake-Online-Pharmacy
3:Life of the associated pharmacy domains is very long.
LegitScript has a good enough list of rogue-registrars and have done comprehensive research on Takedown of Fake-Online-Pharmacies, especially the hurdles and difficulties faced by them during the take-down process .
Servers and IP addresses
Malware Domains: Malware domains as said earlier require a static server for their CnC operations and for staging malware laced files. In the earlier example we searched for from “URL Strings”, when we look into DNS records associated with these domains we will find that there are 2 IP addresses which stand out like a sore thumb:
84.22.104.246 and 84.22.104.244 – search for them in Google and the entire malware history about these IP addresses will be revealed. These IP addresses are provided by Cyber-Bunker.
Fake Online Pharmacies: digging into legacy data and extracting the web-sites associated with Online Pharmacies
Domain: onlinepharmacycheappills.com
IP Address : 37.1.192.148
https://bgp.he.net/ip/37.1.192.148#_dns
Investment
Malware Domains / Fake Pharmacy: the basic requirement is similar for both.
Requirements
a: Procuring Bulk Domains with Fake Identities
b: IP Addresses
c: Setting up of Servers and other related services ie. DNS – A, NS, SOA and MX, Webserver and exploits
d: Hacked Servers – most of them have known vulnerabilities which makes initial infection (deployment of redirection script) fairly easy.
TCO – Total Cost of Ownership – anywhere between 250 to 500 $ per month.(this is a safe ball-park figure)
ROI – Return on Investment – looking into the rate at which Malware Domains are being registered, the IP addresses being changed at regular intervals, I can only assume that ROI (Return on Investment) of these guys is on a higher side.
Logically , any person who is investing 250-500 $ per-month will accept these recurring costs IFF the returns are more than 2000$ – 3000$ per month. I am yet to come across a person who will invest 200$ to earn 5$ and incur a loss of 195$ ie. no one does anything for a loss – right?
However, the ROI of Fake Pharmacy is on the slower side ie. it takes a longer time, as it involves
a: Shipping charges (if any/ships from INDIA)
b: Management of inventory
c: Payment of commissions to their affiliates
d: Refunds
e: Efforts to ensure that refunds are not provided etc.
However some of them may completely discard the shipping option, pick up the Credit Card / Debit Card Numbers , and turn invisible – Fly-By-Night operators would be the correct terminology.
Take Down
The effect of Take-down on Malware Domains and Fake-Pharmacy Domains has varied effects.
MalwareDomains: Whenever a Malware Domain along with its entire infrastructure which includes the IP addresses, Servers are taken down then it takes almost 48 hours for these teams to come up with a new set of infrastructure. So effectively, these take-down hardly create any dent into their operations, however it does infuriate these guys a lot. Especially when their CnC / Staging Servers are compromised, or when the Domain Registrar suspends their domains within 48 hours of being registered – malware domains start serving malware right from the day they are registered and their records are reflected by the Name-Server (which usually takes 48 hours).
Fake Pharmacy Domains: Due to their type of business, prefer to procure services from registrars who are either slow to respond or are in cahoots with them. These guys will go to any extent to protect their domains from being taken down which includes transfering the domain to another friendly registrar.
Conclusion
Even though the business model of Fake-Online Pharmacy and Malware deployment has similarities, however the main differences are wrt to Domain-Age. Some of you may argue that in the world of Malwares rogue-registrars do not exist, and I would beg to differ. If you are keen follower of MalwareMustDie (Twitter, WebSite) a White-Hat Security Security Research Workgroup, then you will realize the difficulties these guys have to face while interacting with various Registrars/CERTs, some registrars do not cooperate or some registrars are reluctant to suspend the malicious domains.
Secondly, there are some good registrars too viz. PDR and GoDaddy who will conduct their own parallel investigation and place the malicious domains under “Temporary Suspension”. Temporary Suspension, means that the domain owner has to clean up his site , provide all the verifiable credentials and then re-claim the domain. However, it is also to be noted that none of the malicious domain owners ever respond to these suspensions.
A few good thing that came out from this research is:
1: Malware Domains and Pharmacy domains DO NOT mix their IP addresses
2: Domain-Age has vast differences except for Fake-AVs
3: Rogue Registrars ( those who are reluctant to take down) exist in both the categories
4: MO is different for both
The most important point which differentiates a Malware Domain and Fake Online Pharmacy Domain
5: Search Engines / Browsers add a remark / alert, when they find a Malware Serving Domain
Hopefully, now registrars will recognize the subtle differences between a Malware Domain and a Fake Pharmacy.
[Update]
ie. The speed at which action is taken against malicious domains should be at a much faster pace, the slower you are , the chances of more PCs getting infected rises exponentially.
A continuación del blog previo, que hablo acerca de Farmacia Falsa, este blog tiene información sobre comparando los dominios en relación al Farmacia Falso y Dominios de Malware.
Modelo de Empresa
Farmacia Falsa frente a Dominios de Malware
Ambas de estas campañas comienzan con
A: Servidor Hackeado – para proporcionar el script de redirección al servidor alojado.
B: Servidor Alojado para el contenido, con respecto a los dominios de malware, son los CNC (Comando y Control) que requieren un dominio estable / dirección IP que no se pueden ser eliminados y con farmacia falsa necesitan un registrador de dominio/ registrado de dominio afiliado.
Sin embargo, hay una cosa que es común – estas campañas requieren un servidor estable/dirección IP que será difícil para limpiar.
Algunas de estas campañas de malware son basada en afiliados, sin embargo falsas farmacias están basados en el programa de afiliados 100%. Estos programas afiliados trabajan como un programa de recompensas para promover el dominio y sus servicios.
Alguna persona tratara estos trabajos como estrategias de mercadeo para asegurar que esto sea dirigido a un público grande. La carga de estos ataques pueden ser malware o falsas farmacias.
Efectivamente, nosotros tenemos un grupo que pueda enviar correo electrónicos de spam.
Ejemplos de afiliados en campanas de malware:
Las últimas semanas, he estado siguiendo una campana de malware que también dio lugar a la adquisición de 400+ archivos maliciosos de Java desde los servidores de plataforma que fueron parte de este campana. Estas muestras fueron compartidas con otros Anti-Virus.
En este ejemplo, vamos a revisar un esquema de URL que está siendo usado como “hxxp://domain.tld/?a=YWZmaWQ9MDE3ODg=” donde el arrastre cadena después de “?a=” es una cadena de Base 64 codificados. Llegamos a tener “affid=01788” cuando esta cadena se decodifica. Hay otras cadenas que usted puede considerar de decodificar.
?a=YWZmaWQ9MDEwMDA= , decoded to “affid=01000″
?a=YWZmaWQ9MDA2MDE= , decoded to “affid=00601″
?a=YWZmaWQ9MDAzMzM= , decoded to “affid=00333″
Para encontrar los dominios que son asociados con estas cadenas codificadas, nosotros podemos utilizar Google para buscarlos. Una persona también puede buscar en las direcciones IPs, Servidores de Nombre y en los administradores de estos dominios.
Servidor Nombre es otro aspecto que es común y de un dominio, es posible de encontrar todos los dominios maliciosos/farmacia falso en base de
A: Dirección IP
B: Servidores de Nombre
Podemos asumir que los malware están utilizando programas de afiliados para propagar infecciones. Otros pueden tener otra opinión sobre el uso de “affid=” y me gustaría saber más de esto.
La Vida de un Dominio
La vida de un dominio se define por su uso y exposición que un dominio obtiene durante todo el periodo. Sin embargo, esto es cierto para los dominios comercial/legitimó pero no para los dominios de malware/farmacia falso.
Dominios de Malware: La mayoría de las listas en línea atienden a la detección de los dominios de malware, la vida de estos dominios es muy baja. La mayoría de los Anti-Virus depende en la detección estática y cuando un dominio llega a una lista de bloqueo en línea, estas listas están desplegadas por todo el mundo. Por lo tanto, los actores maliciosos siempre cambiaran los dominios y los nuevos dominios se registran. Sin embargo la dirección IP en donde las cargas se alojan queda lo mismo por mucho tiempo, en algunos casos más de 30 días.
Sin embargo, cuando usted mire dentro a un dominio que son diseñados específicamente para desplegar falsos Anti-Virus, ellos tienen una vida larga en comparación a otros dominios de malware.
Farmacia Falsa: Farmacia falsa es dependiente en los usuarios de Internet que reciben correos electrónicos acerca de farmacia o que pueden utilizar cualquier motor de búsqueda popular para buscar productos en relación de farmacia. Los falso farmacéuticos nunca querrán sus dominios de
- Caducar
- Eliminado por Autoridades
Ahora busca “farmacia en línea” para buscar una farmacia legal original, no te sorprendas por los resultados, las farmacias legales son muy difíciles para encontrar, especialmente cuando la mayoría de las farmacias están promoviendo ellos mismos como “No necesitas prescripción” y en la política de envió dice que las entregas llegaran tarde ya que estas drogas vienen de la país de India.
Tenga en Cuenta: Este dominio fue escogido en aleatorio basado en la línea “No necesitas prescripción” y desde la segunda página de búsqueda de Google.
Cuando visitas https://www.onlinepharmacycheappills.com/ y al hacer clic en “Visit Pharmacy” el sitio redirige a https://www.pillsarena.com/ y al hacer clic en “Affiliates”, el sitio redirige a https://www.rxprofits.com.
Revisando estos sitios, no sé si debo de tratar estas páginas como farmacias legales o falsas. Sin embargo cuando miramos en los registros de quien es:
Nombre de Dominio: onlinepharmacycheappills.com
Estado: Activo
Estado de Protección: Publico
Nombre: Samul S Chesnokov
Organización: Privado
Domicilio: Ul. Krolewska 44
Ciudad: Grudzi??dz
Estado: –
País: PL
Código Postal: 86-301
Email: pharm.xr@gmail.com
Creado: 2013-03-01 16:07:22 – 3 días de edad. Yo digo que un excelente agente de SEO aseguro que el dominio sea disponible en la segunda página del buscador.
Nombre de Dominio: pillsarena.com
Creado en: 2012 -03-11
Protegido por: PrivacyGuardian.org
Dominio: rxprofits.com
Ultimo actualización de registro: 10-30-2012 05:39:31 AM
Vencimiento de registro: 01-09-2014
Registro creado: 01-09-2012 – Registrado por 2 anos.
Ahora llevamos a cabo nuestra búsqueda en línea para la dirección de correo electrónico del registrante y aquí tenemos los resultados:
Algunos Reportes en línea:
https://www.malwareurl.com/listing-urls.php?page=11&urls=off&rp= – proporcione el dominio onlinepharmacycheappills.com y soluciona el captcha
https://scamfraudalert.org/2013/01/10/buyviagraonlinei-com/ – Verificar la dirección de correo electrónico del registrador
Por lo tanto, en base de las enlaces redirigidas, podemos suponer que los registros de quién es y reportes en línea:
- Que todos los sitios de farmacia son interrelacionadas
- El uso de programa afiliado es prevalente en falso farmacia en línea.
- La vida de los dominios de farmacia asociados es muy largo.
El Script Legitimo tiene una lista de pícaro-registradores y han realizado investigaciones sobre las farmacias falsas en línea, específicamente las dificultades experimentadas por ellos durante el proceso de desmontaje.
Servidores y Direcciones IP
Dominios de Malware: Dominios de malware requieren un servidor estática para sus operaciones CnC (Comando y Control). En el ejemplo anterior, buscamos “Cadenas de URL” cuando miramos a los registros de DNS que son asociados con estos dominios, encontramos que hay dos direcciones IP que son notable:
84.22.104.246 y 84.22.104.244 – busca a estos IPs en Google y toda la historia de malware sobre estas direcciones IP son revelados. Estas direcciones IP son proporcionados por Cyber-Bunker.
Farmacias Falsas en línea: Buscando dentro datos heredados y haciendo la extracción de los sitios web que son asociados con farmacias en línea
Dominio: onlinepharmacycheappills.com
Direccion IP: 37.1.192.148
https://bgp.he.net/ip/37.1.192.148#_dns
Inversión
Dominios de Malware / Farmacia Falsa: El requisito básico es similar para ambos
Requisitos
A: Adquisición de dominios con identidades falsas
B. Dirección IP
C. Configuración de Servidores y otros servicios por ejemplo DNS – A, NS, SOA y MX, Servidor web y explotas
D. Servidores Hackeados – Algunos tienen vulnerabilidades conocidos en donde la infección es fácil (despliegue de redirección script).
TCO – Costo Total de Propiedad – En cualquier parte entre $250 a $500 cada mes (esto es seguro).
ROI – Retorno de la Inversión – Mirando el valor en donde se registran los dominios de malware, las direcciones IP se modifican a intervalos regulares. Solo puedo suponer que el ROI (Retorno de la Inversión) es superior.
Lógicamente, una persona que está invirtiendo $250 – 500 cada mes aceptara estos costos si los retornos son más de $2,000 – 3,000 cada mes. Quiero llegar a través de una persona que invertirá $200 para ganar $5 y incurrir una pérdida de $195. Nadie hace nada para una perdida, cierto?
Sin embargo, el ROI de farmacia falso esta lento ya que implica
- Costos de envió (se envía desde la India)
- Gestión de Inventario
- Pago de comisiones a sus afiliados
- Reembolsos
- Asegurar que los reembolsos no son proporcionados etc.
Sin embargo, algunos pueden descartar la opción de envió, y recoger la tarjeta de crédito/numero de tarjeta de debito.
Bajar
El efecto de desmontar los dominios de malware y dominios de farmacia falsos ha tenido varios efectos.
Dominós de Malware: Se quitan los servidores cuando un dominio de malware junto con su infraestructura que incluye las direcciones IP, y casi se toma 48 horas para que los equipos tienen una nueva infraestructura. Efectivamente cuando los servidores se quitan, apenas crean cualquier abolladura en sus operaciones. Específicamente cuando sus CnC (Comando y Control)/Servidores de Plataforma están en peligro o cuando el registrador de dominio suspende sus dominios dentro de 48 horas de ser registrada – los dominios de malware comienzan a servir malware desde el día que se registran y sus registros son reflejados por el Servidor de Nombre (generalmente toma 48 horas).
Dominio de Farmacia Falsa: Debido al tipo de negocio, prefieren de adquirir los servicios de los registradores que tardan en responder. Este tipo de gentes ira a cualquier medida para proteger sus dominios de no ser quitadas que incluye la transferencia de dominio a otro registrador amigable.
Conclusión
Aunque el despliegue del modelo de negocio de Farmacia Falsa en línea y malware son similares, sin embargo las diferencias principal son con respecto a Edad de Dominio. Algunos de ustedes pueden decir que los malwares de rogué-registradores no existen y yo digo que no estoy en acuerdo. Si usted sigue MalwareMustDie (Twitter, WebSite) es un grupo de investigadores de trabajo de Seguridad de White-Hat, entonces usted dará cuenta de las dificultades que la gente tienen que enfrentar mientras interactúan con varios registradores/CERTs, algunos registradores no cooperan o algunos registradores no están dispuestos a suspender los dominios maliciosos.
También, hay algunos registradores buenos viz. PDR y GoDaddy quien manejaran su propia investigación paralela y poner los dominios maliciosos bajo de “Suspensión Temporal”. Suspensión Temporal significa que el propietario de dominio tiene que limpiar su sitio, proporcionar todas las credenciales verificables y luego reclamar el dominio. Sin embargo ninguno de los propietarios de dominios maliciosos nunca ha respondido a estas suspensiones.
Algunas buenas cosas que salen de esta investigación:
- Dominios de Malware y dominios de Farmacia no confundan sus direcciones IP.
- Edad de Dominio tienen diferencias menos a los Anti-Virus Falsos.
- Registradores-Rogué (aquellos que no están dispuestos de derribar) existen en ambos categorías.
- MO es diferente para ambos
El punto más importante que distingue al dominio de malware y dominio de farmacia falsa en línea
- Motores de búsqueda/Los navegadores agregan un comentario/ alerta, cuando encuentran un dominio de malware
Ojala que ahora los registradores conocen las diferencias entre Dominio de Malware y Farmacia Falsa
Ejemplo: La velocidad en que se tome la acción contra dominios maliciosos debe ser rápido, lo más lento, las posibilidades de que los equipos se infectan mas.
