MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

25.3.09

Entidades financieras en la mira de la botnet Zeus. Primera parte

Como ya he comentado en anteriores post, Zeus es una de las redes de computadoras zombi más importantes debido al gran número de nodos que conforman su red, y si bien su origen data de fines del 2007, en la actualidad se encuentra explotando malware de manera activa y masiva, ampliando su cobertura de ataques y actividades fraudulentas, administrando cada nodo a través de una interfaz web.

Tal es así que entre sus actividades se encuentran, además de la propia acción maliciosa de infección, activar todo un arsenal de scripts dañinos cuyos propósitos se canalizan en la infección masiva de equipos a través de troyanos, explotar diferentes vulnerabilidades conocidas, realizar ataques de phishing bajo el método de clonación de sitios web de diferentes entidades bancarias a nivel global y diferentes sistemas que ofrecen servicios pagos en línea.

Sabiendo este punto fundamental del propósito de Zeus centrado en un alto porcentaje de robo de información, la pregunta concreta que suponemos luego de leer estos breves párrafos es: ¿de qué manera obtiene Zeus la información que necesita del equipo víctima?


La respuesta a esta incógnita se encuentra en su archivo de configuración, el cual se encuentra cifrado. Una vez descifrado, el contenido de este archivo de configuración es similar al siguiente ejemplo real que muestra la información contenida en el archivo cfg.bin
(MD5: 905dfab98b33e750bf78c8b29765279b):
Config version: 1.0.3.7
Loader url: http://yourcatfree.cn/trashes/ldr.exe

Server url: http://theyourbest.cn/rssfeederd/stat1.php

Advanced config 1: http://greatyourway.cn/trashesgg2/cfg.bin

Advanced config 2: http://theyourown.cn/trashesff1/cfg.bin

Advanced config 3: http://adviceswarning.com/trashesrr5/cfg.bin

Advanced config 4: http://ispspartners.com/trashes6/cfg.bin

Advanced config 5: http://ispscenter.com/trashesrr3/cfg.bin

Advanced config 6: http://alleips.com/trashestt3/cfg.bin

Fake 1: 0 PG http://adultfriendfinder.com/go*|http://centralet.cn/1/1.php|291351|

Fake 2: 0 PG http://adultfriendfinder.com/search/g*|http://centralet.c
/1/1.php|291351|

Fake 3: 0 PG http://adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Fake 4: 0 PG http://adultfriendfinder.com/cgi-bin/public/page.cgi?p=affiliate_multi*|http://centralet.cn/1/1.php|291351|

Fake 5: 0 PG http://staging.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|

Fake 6: 0 PG http://staging.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Fake 7: 0 PG http://www.adultfriendfinder.com/go*|http://centralet.cn/1/1.php|291351|

Fake 8: 0 PG http://www.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|

Fake 9: 0 PG http://www.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Fake 10: 0 PG http://www.adultfriendfinder.com/cgi-bin/public/page.cgi?p=affiliate_multi*|http://centralet.cn/1/1.php|291351|

Fake 11: 0 PG http://www.staging.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|

Fake 12: 0 PG http://www.staging.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Inject data 1: OK

Inject data 2: OK

Inject data 3: OK

Inject data 4: OK

Inject data 5: OK

Inject data 6: OK

Inject data 7: OK

Inject data 8: OK

Inject 1: https://www.e-gold.com/acct/balance.asp*|GPL|*|*

Inject 2: https://online.wellsfargo.com/das/cgi-bin/session.cgi*|GL|*|*

Inject 3: https://www.wellsfargo.com/*|G|*|*

Inject 4: https://online.wellsfargo.com/login*|GP|*|*

Inject 5: https://online.wellsfargo.com/signon*|GP|*|*

Inject 6: https://www.paypal.com/*/webscr?cmd=_account|GL|*|*

Inject 7: https://www.paypal.com/*/webscr?cmd=_login-done*|GL|*|*

Inject 8: https://www.gruposantander.es/bog/sbi*?ptns=acceso*|GP|*|*

Done!

De esta manera, y por intermedio de configuraciones avanzadas que explotan en el equipo víctima, el troyano de zeus logra obtener información sensible.

# pistus

0 comentarios: