MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

27.2.09

LuckySploit, la mano derecha de Zeus

LuckySploit es el nombre de un conjunto de scripts (Toolkit) diseñados para explotar diferentes vulnerabilidades y permitir la ejecución de binarios en el equipo víctima de manera arbitraria.

Actualmente, estos scripts, sometidos a ofuscación, están siendo utilizados por la botnet Zeus para reclutar zombies PCs a través de ataques Drive-by-Download.

Cuando se accede a la dirección web, sólo se visualiza una página en blanco; sin embargo, al chequear su código fuente aparece un código escrito en JavaScript como el siguiente:

El script se encuentra cifrado con el algoritmo RSA. Esta información se visualiza al final del código.

Otro dato interesante es que el script sólo se visualiza una sola vez, es decir, si se intenta acceder nuevamente a la misma dirección, al chequear nuevamente el código fuente del HTML, el script ya no se encuentra disponible.

Algunos de los dominios que contienen a LuckySploit se encuentran reflejados a continuación:
r-state .com/ equi/
trafffive .cn/wait/ ?t=15
trafffive .cn/bm/ ?t=15
directlink9 .cn/wait/ ?t=15
directlink4 .cn/bm/ ?t=15
directlink2 .cn/wait/ ?t=15
directlink1 .cn/bm/ ?t=15
directlink0 .cn/wait/ ?t=15
superioradz .info/opis3/ ?t=2
superioradz .info/opis2/ ?t=2
rodexcom .org/parus/ ?t=5
dvlorg .net/parus/ ?t=25
top.sei-keine .com/u-store/ ?t=1
statclick .net/main/ ?t=1
deinglaube .com/ images/
202.73.57.6/ tomi
federalreserve.banknetworks .net/bb/ ?t=2
fuadrenal .com/mito/ ?t=2
fuck-lady .com/prn/index .php
hello-to-you .net/rttz/ ?t=6

Cabe aclarar que muchas de estas URL's se encuentran activas, por lo tanto, si decide acceder a cualquiera de ella, tenga presente las medidas de seguridad adecuadas para el caso en cuestión.

En algunos script, al desofuscarlo, claramente se lee al final del mismo un mensaje que dice:
attack_level = 0;;
try {
f = 'Welcome to LuckySploit:) \n ITS TOASTED';

De esta manera, Zeus se encuentra adhiriendo equipos a su red maliciosa de computadoras infectadas.

Información relacionada:
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Zeus Botnet. Masiva propagación de su troyano. Primera parte
Ataque de malware vía Drive-by-Download


# pistus

0 comentarios: