MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

22.1.10

Aprovechando ZeuS para enviar spam a través de redes sociales

Hemos podido analizar un pack para convertir los zombis de ZeuS en distribuidores de spam a través de redes sociales. En concreto, el módulo analizado se encuentra desarrollado para ser usado en Vkontakte.ru, el clon ruso de Facebook.

Este crimeware ha sido creado por alguien que se hace llamar Deex, del Freedomscripts Team y se vende al módico precio de USD 100 (vía WebMoney).

El pack incluye varios ficheros donde realizar la configuración del mismo:

  • config.ini: lleva definido el target (friends u online, aunque de momento sólo parece funcionar la primera opción) y la contraseña del administrador del panel de control. Al seleccionar friends, se enviarán los mensajes a todos nuestros contactos, aunque no estén en línea en ese momento.
  • message.txt: contiene el texto del mensaje a enviar.
  • title.txt: contiene el título del mensaje a enviar.
  • results.txt: aquí se van guardando las estadísticas de los usuarios infectados (identificador en vkontakte, IP y número de mensajes enviados).
  • webinjects.txt: el código HTML que se inyectará en la sesión del PC infectado y disparará el envío de spam.

El contenido de este último fichero debe añadirse (o sustituir completamente) al fichero del mismo nombre necesario para generar los binarios de ZeuS, y a continuación reconstruir el fichero de configuración y el ejecutable de ZeuS.

Una vez que la PC de la víctima se infecta con este ejecutable, además de enviar a ZeuS los típicos reportes, chequeará la página que visitamos y en caso de ser la de Vkontakte.ru y además estar en inglés (no funciona en otros idiomas), activará la inyección de código en la página, que en todo momento mantiene la apariencia de la auténtica.

A partir de ese momento, todas las peticiones HTML son procesadas por la página getconfig.php que se encarga de llamar posteriormente a la auténtica página para evitar sospechas, mostrando al usuario el contenido real de vkontakte.ru a medida que navega por sus páginas; mientras que por debajo, envía un mensaje cada vez que se pulsa un enlace desde la página js.php, como se puede ver en el siguiente fragmento del log:

El resultado se puede ver en los elementos enviados, donde aparecen todos los mensajes que se han ido mandando a nuestros contactos:

Todo esto se administra desde un panel de control independiente al de ZeuS, que no necesita de base de datos para funcionar, ya que configuración y reportes van en sendos ficheros de texto.

El panel de control es bastante simple. Tiene una página de login en blanco, con una casilla para poner la contraseña que da acceso al propio panel, con un menú de 5 opciones:

  • Reports: muestra el resultado del envío de spam. En nuestro ejemplo, el ID ha enviado 20 mensajes desde la IP indicada.

  • Inject: muestra el código inyectable (webinjects.txt) y enlaces a las tres páginas encargadas de realizar las tareas propias del envío.

  • Settings: desde aquí se pueden gestionar los ficheros de configuración para cambiar la contraseña y establecer el título y el cuerpo del mensaje a enviar. Estos datos se guardan en los ficheros de configuración mencionados anteriormente.

  • Help: una breve página con alguna indicación de qué es este pack y de las dos partes que lo componen: Inject y Admin.

  • Logout. Para abandonar el panel de control.

Resumiendo, este paquete muestra lo sencillo que resulta aprovechar los zombis pertenecientes a una botnet bajo el control de ZeuS para realizar envíos de mensajes a través de las redes sociales.

Aunque este caso concreto sólo afecta, en primera instancia, a Vkontakte.ru, adaptarlo a otras redes sociales o utilizarlo para realizar otro tipo de ataques a través de páginas web, como realizar clicks fraudulentos, sería bastante fácil.

Información relacionada
ZeuS Botnet y su poder de reclutamiento zombi
ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Ernesto Martin
Crimeware Researcher en Malware Intelligence

0 comentarios:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)