Estado del arte en CRiMEPACK Exploit Pack
CRiMEPACK es un exploit pack de amplia difusión y aceptación en el escenario delictivo que entró en este campo bajo el slogan "highest rates for the lowest price" (“tasas más altas a un precio bajo”).
Actualmente se encuentra In-the-Wild la versión 3.0 cuya fase de desarrollo es alpha (la primera de esta versión). Es decir, se encuentra en plena etapa de evaluación y seguramente en los próximos días se pondrá a la venta en foros underground, momento en el cual se conocerá su costo real.
Actualmente se encuentra In-the-Wild la versión 3.0 cuya fase de desarrollo es alpha (la primera de esta versión). Es decir, se encuentra en plena etapa de evaluación y seguramente en los próximos días se pondrá a la venta en foros underground, momento en el cual se conocerá su costo real.
Como todo exploit pack, este también se compone de un conjunto de exploits pre-compilados para aprovechar una serie de vulnerabilidades en aquellos sistemas con debilidades en alguna de sus aplicaciones, para luego descargar y ejecutar (Drive-by-Download & Execute) códigos maliciosos y convertir ese sistema en un zombi, y en consecuencia, parte del aparato delictivo.
Y digo bien… "delictivo", ya que quienes se encuentran detrás del desarrollo de este tipo de crimeware lo hacen con este fin. Y a juzgar por las imágenes (una manopla, un arma de puño, una billetera, dinero y lo que parecería ser cocaína, propio escenario de toda mafia) que se observan en la interfaz de autenticación de su panel de control, esta definición queda muy evidente.
La primera vez que me topé con este paquete fue en el 2009, cuando la versión In-the-Wild era la versión 2.1 y luego dio su "gran salto" a una de las más populares: la versión 2.8 (aún muy activa), la cual a principios de 2010 había incorporado en su cartera de exploits CVE-2010-0188 y CVE-2010-0806; además de agregar un generador iframe y la funcionalidad "Anti-Kaspersky emulation", a un costo de USD 400.
En esta primera etapa de la evaluación de la versión 3, CRiMEPACK incorpora un total de 14 exploits, los cuales son:
Y digo bien… "delictivo", ya que quienes se encuentran detrás del desarrollo de este tipo de crimeware lo hacen con este fin. Y a juzgar por las imágenes (una manopla, un arma de puño, una billetera, dinero y lo que parecería ser cocaína, propio escenario de toda mafia) que se observan en la interfaz de autenticación de su panel de control, esta definición queda muy evidente.
La primera vez que me topé con este paquete fue en el 2009, cuando la versión In-the-Wild era la versión 2.1 y luego dio su "gran salto" a una de las más populares: la versión 2.8 (aún muy activa), la cual a principios de 2010 había incorporado en su cartera de exploits CVE-2010-0188 y CVE-2010-0806; además de agregar un generador iframe y la funcionalidad "Anti-Kaspersky emulation", a un costo de USD 400.
En esta primera etapa de la evaluación de la versión 3, CRiMEPACK incorpora un total de 14 exploits, los cuales son:
- name="mdac" desc="IE6 COM CreateObject Code Execution" CVE-2006-0003
- name="msiemc" desc="IE7 Uninitialized Memory Corruption" CVE-2010-0806
- name="java" desc="JRE getSoundBank Stack BOF" CVE-2009-3867
- name="iepeers" desc="IEPeers Remote Code Execution" CVE-2010-0806
- name="pdfexpl" desc="PDF Exploits [collectEmailInfo (CVE-2007-5659), getIcon (CVE-2009-0927), util.printf (CVE-2008-2992)]"
- name="opera" desc="Opera TN3270" CVE-2009-3269
- name="aol" desc="AOL Radio AmpX Buffer Overflow" CVE-2007-5755
- name="iexml" desc="Internet Explorer 7 XML Exploit" CVE-2008-4844
- name="firefoxdiffer" desc="Firefox 3.5/1.4/1.5 exploits" CVE-2009-355
- name="libtiff" desc="Adobe Acrobat LibTIFF Integer Overflow" CVE-2010-0188
- name="spreadsheet" desc="OWC Spreadsheet Memory Corruption" CVE-2009-1136
- name="activexbundle" desc="Bundle of ActiveX exploits" CVE-2008-2463
Para todos los exploits incorpora una característica que puede ser activada o desactivada desde el panel de control denominada "Aggressive Mode", que se trata de un Applet de JAVA que emerge a través de una ventana pop-up preguntando a la potencial víctima si desea aceptar el Applet. En caso afirmativo, se carga el payload (el malware).
Por otro lado, dentro de la constante evolución que sufre este tipo de crimeware, incorpora medidas auto-defensivas como evitar la desofuscación de los scripts con técnicas anti Wepawet y Jsunpack.
Por otro lado, dentro de la constante evolución que sufre este tipo de crimeware, incorpora medidas auto-defensivas como evitar la desofuscación de los scripts con técnicas anti Wepawet y Jsunpack.
Además de comprobar de forma automática, si el dominio empleado se encuentra listado en los servicios:
- Norton SafeWeb
- My WebOfTrust
- Malc0de
- Google Safe Browsing
- MDL
- McAfee SiteAdvisor
- HpHosts
- MalwareURL
Hace unos días Brian Kreb publicaba en su blog una noticia sobre la implicancia que tuvo este paquete en los procesos de propagación y explotación de una vulnerabilidad, hasta ese momento, del tipo 0-Day a través de JAVA, y sin lugar a dudas se explotaba la vulnerabilidad a través de una clase.
Sin embargo, también fue asociada con otro exploit pack denomina SEO Sploit Pack y, aunque no se trata del mismo, una vez más queda en completa evidencia que los procesos del negocio que representa el crimeware posee una demanda muy alta, ofreciendo las aplicaciones a bajo costo dentro de un modelo de negocio muy competitivo… y cada vez más agresivo!!
Sin embargo, también fue asociada con otro exploit pack denomina SEO Sploit Pack y, aunque no se trata del mismo, una vez más queda en completa evidencia que los procesos del negocio que representa el crimeware posee una demanda muy alta, ofreciendo las aplicaciones a bajo costo dentro de un modelo de negocio muy competitivo… y cada vez más agresivo!!
Información relacionada
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
ZeuS Botnet y su poder de reclutamiento zombi
DDBot. Más gestión de botnets vía web
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
TRiAD Botnet III. Administración remota de zombis multiplataforma
0 comentarios:
Publicar un comentario