MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

19.4.10

Scam de ZeuS sobre IRS continúa siendo activamente explotado

Actualización 19.04.2010

Una nueva ola de dominios Scam sobre el IRS empleados por ZeuS se avecina. Hasta el momento hemos detectado solo unos pocos, pero estimamos que en las próximas horas comenzarán a aparecer muchos más en el escenario delictivo de esta vieja estrategia utilizada por ZeuS.

Los dominios, como es habitual, presentan la siguiente estructura:

irs.gov.rewsserr.eu/fraud.applications/application/statement.php

Desde donde se intenta descargar el binario de ZeuS bajo el nombre tax-statement.exe (6898fb162ceaf75a7f3690d51b0e8967): 36/40 (90.00%)

Los otros dominios detectados son:

irs.gov.rewssert.eu
irs.gov.rewsserx.eu
irs.gov.rewsserz.eu
irs.gov.rewsserr.be
irs.gov.rewsserx.be
irs.gov.rewsserz.be
irs.gov.ryuepoy.eu
irs.gov.ryuepoy.be
irs.gov.ryuepou.eu
irs.gov.ryuepou.be
irs.gov.ryuepoo.eu
irs.gov.ryuepoo.be
irs.gov.ryuepoi.eu
irs.gov.ryuepoi.be
irs.gov.rtadesrw.eu
irs.gov.pexxaz.vg

IRS ZeuS Scam list updated


Actualización 31.03.2010
La campaña de ZeuS sobre la propagación de Scam haciendo alusión al IRS, entre otros, sigue muy activo. Nuevos dominios se encuentran In-the-Wild propagando una variante de troyano ZeuS.

irs.gov.eawsqa.pl/fraud.applications/application/statement.php
irs.gov.eawsqy.pl/fraud.applications/application/statement.php
irs.gov.eawsqu.pl/fraud.applications/application/statement.php

irs.gov.ewsqas.be
irs.gov.ewsqaz.be
irs.gov.ewsqaq.be
irs.gov.awsqaa.be
irs.gov.eawsqa.be
irs.gov.rewdpv.be
irs.gov.rewdpw.be
irs.gov.rewdpc.be
irs.gov.rewdpd.be
irs.gov.rewdpe.be

irs.gov.rewdpa.co.uk
irs.gov.rewdpq.co.uk
irs.gov.rewdpx.co.uk
irs.gov.rewdpz.co.uk
irs.gov.eawsqa.co.uk
irs.gov.eawsqe.co.uk
irs.gov.rewdps.co.uk
irs.gov.eawsqw.co.uk
irs.gov.eawsqt.co.uk
irs.gov.eawsqq.co.uk
irs.gov.eawsqr.co.uk

Esta variante del troyano, que se propaga bajo el nombre tax-statement.exe (6898fb162ceaf75a7f3690d51b0e8967) posee una tasa de detección alta.

ZeuS IRS Scam update list 31.03.2010


Actualización 27.02.2010
irs.gov.wannafilez.org/fraud.applications/application/statement.php
irs.gov.wannafilez.net/fraud.applications/application/statement.php
irs.gov.wannafiles.org/fraud.applications/application/statement.php
irs.gov.wannafile.org/fraud.applications/application/statement.php
irs.gov.mobfilez.org/fraud.applications/application/statement.php
irs.gov.milesfiles.net/fraud.applications/application/statement.php
irs.gov.mobfiles.org/fraud.applications/application/statement.php
irs.gov.ffilez.org/fraud.applications/application/statement.php
irs.gov.diggafilez.org/fraud.applications/application/statement.php
irs.gov.ffilez.net/fraud.applications/application/statement.php
irs.gov.fastgilez.org/fraud.applications/application/statement.php
irs.gov.diggafilez.net/fraud.applications/application/statement.php

ZeuS IRS Scam update list 27.02.2010

Actualización 24.02.2010
Más dominios utilizados por ZeuS para su compaña de infección bajo el logo del IRS y con el mismo Drive-by-Download.

irs.gov.msdrv-v1.tk/fraud.applications/application/statement.php
irs.gov.yrxo.kr/fraud.applications/application/statement.php
irs.gov.yrxo.or.kr/fraud.applications/application/statement.php
irs.gov.yrxo.co.kr/fraud.applications/application/statement.php
irs.gov.yrxo.kr/fraud.applications/application/statement.php
irs.gov.yrxo.ne.kr/fraud.applications/application/statement.php
irs.gov.yrxs.or.kr/fraud.applications/application/statement.php
irs.gov.yrxc.kr/fraud.applications/application/statement.php
irs.gov.yrxc.or.kr/fraud.applications/application/statement.php
irs.gov.yrxc.ne.kr/fraud.applications/application/statement.php
irs.gov.yrxc.co.kr/fraud.applications/application/statement.php
irs.gov.yrxs.co.kr/fraud.applications/application/statement.php
irs.gov.yrxs.kr/fraud.applications/application/statement.php
irs.gov.yrxs.ne.kr/fraud.applications/application/statement.php


Actualización 20.02.2010
Los creadores de ZeuS han puesto en marcha una nueva campaña de infección utilizando como cobertura una falsa notificación supuestamente emitida por el IRS (Internal Revenue Service) de EEUU; mediante el cual se propaga una variante del troyano (MD5:14FBCE4A3F67E46B18308AC6824B2A00) encargado de reclutar zombis. Posee un alto porcentaje de detección.

Además, en el código fuente de la página, se encuentra inyectada una etiqueta iframe que asociada a la dirección hxxp://109.95.114.251/usa50/in.php, provocando un ataque de Drive-by-Download.

Los dominios involucrados en esta nueva campaña son:

irs.gov.desa.ne.kr/fraud.applications/application/statement.php
irs.gov.desa.or.kr/fraud.applications/application/statement.php
irs.gov.desa.kr/fraud.applications/application/statement.php
irs.gov.desa.co.kr/fraud.applications/application/statement.php
irs.gov.desz.or.kr/fraud.applications/application/statement.php
irs.gov.desz.ne.kr/fraud.applications/application/statement.php
irs.gov.desz.kr/fraud.applications/application/statement.php
irs.gov.desz.co.kr/fraud.applications/application/statement.php
irs.gov.desv.kr/fraud.applications/application/statement.php
irs.gov.deso.or.kr/fraud.applications/application/statement.php
irs.gov.deso.kr/fraud.applications/application/statement.php
irs.gov.desb.or.kr/fraud.applications/application/statement.php
irs.gov.desb.ne.kr/fraud.applications/application/statement.php
irs.gov.desb.kr/fraud.applications/application/statement.php
irs.gov.desb.co.kr/fraud.applications/application/statement.php
irs.gov.edase.kr/fraud.applications/application/statement.php
irs.gov.edasa.kr/fraud.applications/application/statement.php
irs.gov.edasa.co.kr/fraud.applications/application/statement.php
irs.gov.edasa.ne.kr/fraud.applications/application/statement.php
irs.gov.edase.ne.kr/fraud.applications/application/statement.php
irs.gov.edasq.or.kr/fraud.applications/application/statement.php
irs.gov.edasq.co.kr/fraud.applications/application/statement.php
irs.gov.edasq.ne.kr/fraud.applications/application/statement.php
irs.gov.ersm.or.kr/fraud.applications/application/statement.php
irs.gov.edasn.kr/fraud.applications/application/statement.php
irs.gov.ersa.or.kr/fraud.applications/application/statement.php
irs.gov.ersm.co.kr/fraud.applications/application/statement.php
irs.gov.edasq.kr/fraud.applications/application/statement.php
irs.gov.ersq.co.kr/fraud.applications/application/statement.php
irs.gov.edase.co.kr/fraud.applications/application/statement.php
irs.gov.edasn.or.kr/fraud.applications/application/statement.php
irs.gov.ersq.kr/fraud.applications/application/statement.php
irs.gov.edasa.or.kr/fraud.applications/application/statement.php
irs.gov.ersm.ne.kr/fraud.applications/application/statement.php
irs.gov.edase.or.kr/fraud.applications/application/statement.php
irs.gov.ersm.kr/fraud.applications/application/statement.php
irs.gov.edasn.ne.kr/fraud.applications/application/statement.php
irs.gov.ersw.kr/fraud.applications/application/statement.php
irs.gov.erst.ne.kr/fraud.applications/application/statement.php
irs.gov.ersw.or.kr/fraud.applications/application/statement.php
irs.gov.erst.kr/fraud.applications/application/statement.php
irs.gov.erst.or.kr/fraud.applications/application/statement.php
irs.gov.ersq.or.kr/fraud.applications/application/statement.php


Original 14.02.2010
Durante el año pasado (2009) se conocieron varios Scam propagados como estrategia de ataque por parte de ZeuS, haciendo alusión al IRS (Internal Revenue Service), una agencia que depende del Departamento del Tesoro de los Estados Unidos, mediante la cual se diseminaba una variante de la familia de troyanos de ZeuS.

Actualmente, esta misma estrategia esta siendo activamente explotada bajo otra campaña de falsos dominios registrados con nombre similares a la página real del IRS, que diseminan otra nueva variante del troyano ZeuS, donde queda claro que el objetivo es reclutar zombis que permitan acrecentar su extensa red. A continuación podemos observar una captura del nuevo Scam.

El mensaje responde a una supuesta declaración de impuestos que se adjunta en el mismo, y que, según el mismo mensaje, debe ser descargado y ejecutado para poder visualizar la declaración.

En esta faceta del engaño, se descarga un binario llamado tax-statement.exe (MD5:9F0F75BA042B3CB0471749EC2416945B) que posee un nivel muy aceptable de detección por parte de los motores antivirus, siendo detectado por 37 de 40.

Los dominios involucrados en esta campaña son:

irs.gov.rep073.co.kr/fraud.applications/application/statement.php
irs.gov.rep021.co.kr/fraud.applications/application/statement.php
irs.gov.rep023.co.kr/fraud.applications/application/statement.php
irs.gov.rep022.co.kr/fraud.applications/application/statement.php
irs.gov.rep023.or.kr/fraud.applications/application/statement.php
irs.gov.rep021.or.kr/fraud.applications/application/statement.php
irs.gov.rep022.or.kr/fraud.applications/application/statement.php
irs.gov.rep022.ne.kr/fraud.applications/application/statement.php
irs.gov.rep021.ne.kr/fraud.applications/application/statement.php
irs.gov.rep022.kr/fraud.applications/application/statement.php
irs.gov.rep023.kr/fraud.applications/application/statement.php
irs.gov.rep021.kr/fraud.applications/application/statement.php
datalink.limewebs.com/www.irs.gov.newsroom.article.0.id=204335.00.html.portlet=6/refund.php

Pueden descargar la lista de dominios utilizados por ZeuS en torno al IRS desde el siguiente enlace:

ZeuS IRS Domains

ZeuS posee un amplio repertorio de nombres de dominios en función de sus estrategias de propagación, y a lo largo de todo su periodo bajo la nominación “In-the-Wild” fueron muchas las estrategias conocidas y utilizadas para obtener información de índole financiera de todas sus computadoras víctimas.

Sin lugar a dudas, ZeuS es la creme de la creme del crimeware de su estilo.

Información relacionada
Scam de ZeuS sobre IRS continúa siendo activamente explotado
ZeuS y el robo de información sensible
Aprovechando ZeuS para enviar spam a través de redes sociales
ZeuS Botnet y su poder de reclutamiento zombi
ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

0 comentarios:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)