Menú principal

jueves, 4 de abril de 2013

Se descubre quién estaba detrás de OSX/FlashBack

El malware OSX/FlashBack tiene el dudoso honor de haber sido el troyano que más equipos Mac OS X infectó en la historia. Llegando a comprometer más de 600.000 equipos, e incluso muchos de ellos de la propia casa Apple, la epidemia hizo ver la realidad del problema a todos los usuarios de Mac OS X.

Dicho malware fue investigado largo y tendido, pero se quería averiguar quién estaba detrás de él, y Krebs on Security da la respuesta en una genial investigación que comienza con un mensaje de un usuario VIP en el foro privado BlackSEO.com donde un usuario Mavook dice ser el creador de OSX/FlashBack.

Figura 1: Debajo del perfil Mavook dice ser el creador de OSX/FlashBack Trojan

A partir de ese momento Krebs investiga a Mavook, y la investigación no tiene desperdicio. Primero analiza el perfil de Mavook en BlackSEO.com, donde como puede verse se hace referencia una web llamada mavook.com.

Figura 2: Mavook tiene Mavook.com

Dicha web tiene el Whois privado, pero usando un servicio de Whois historico, Krebs obtiene que el dominio se registró en 2005 por un tal Maxim Selikhanovich de Saransk, la capital de Mordovia, una república del este de Rusia. El registro se hizo por medio de un correo electrónico de Hotmail, concretamente h0mini@mail.ru (con cero).

A partir de ese correo, usando el servicio Skype, aparece el nombre de un usuario "Maximsd", que además tiene asociada otra dirección de correo electrónico en “mavook@gmail.com.” Esa dirección de correo de Gmail está asociada a "Maxim Selikhanovich" de Saranks en un servicio que ahora no existe llamado "Saransk-offline" para la venta de archivos MP3.

Otra de las direcciones de correo que utilizaba Maxim en ese sitio y otros relacionados fue “troxel@yandex.ru” que era el mismo correo que se utilizó para registrar una cuenta -ahora borrada - en Facebook a nombre de Maxim Selikhanovich de Saransk y otro sitio de venta de música en MP3 ahora abandonado se llamaba mavook-mp3.com, estaba registrado a nombre de “Mavook aka Troxel” y el correo utilizado era h0mini@mail.ru, misma dirección que la que se usó para registrar mavook.com.

Figura 3: Cuenta a nombre de Maxim Selikhanovith cerrada

El final de la investigación lo cuenta Krebs de manera mucho más rápida, ya que la dirección de correo h0mini@mail.ru es el punto de contacto de un negocio en mak-rm.com, cuyo nombre de dominio está registrado para una empresa de IT-outsourcing y diseño web en Saransk called, llamada Mordovia Outsourcing Company. MAK son las iniciales en ruso “МОРДОВСКАЯ АУТСОРСИНГОВАЯ КОМПАНИЯ”, que está registrado a nombre de una persona llamada “Max D. Sell” de Saransk (puedes ver una imagen cacheada de mak-rm.com en 2010 en Internet Archive).

Figura 4: Web de la compañía cacheada en 2010

Krebs resuelve el final consiguiendo información de los impuestos por medio de una persona con la posibilidad de consultar los datos en Rusia, y la compañía está registrada a nombre de Maxim Dmitrievich Selihanovich un hombre de 30 años de Saransk, Mordovia, que tiene todas las papeletas para ser el creador de OSX/FlashBack.

1 comentario:

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares