Malware Intelligence Blog: Phoenix Exploit’s Kit v2.3 Inside. A division of MalwareIntelligence

PEK (Phoenix Exploit’s Kit) se ha transformado en uno de los recursos más empleados por quienes día a día inundan Internet con diferentes tipos de códigos maliciosos. Actualmente, un importante volumen de malware es distribuido a través de este crimeware, que también es ampliamente utilizado para el acopio de información relevante para un botmaster.

Anteriormente habíamos mencionado cómo se ve por dentro la versión 2.1 y en ese mismo momento decíamos que desde el punto de vista de su diseño, las diferentes versiones de PEK se ven prácticamente de forma muy similar, con el típico fondo oscuro, el ave Fénix en el ángulo inferior derecho y de frente su sistema de autenticación trivial a simple vista, pero que sin embargo realiza una verificación bajo el algoritmo SHA1.

En esta oportunidad, se trata de la versión 2.3 de PEK, la final y estable hasta el momento (existe una versión preliminar a la 2.4 conocida como 2.3r). Sin embargo, a pesar de no aparentar diferencias visibles, esta versión, además de actualizar una serie de “detalles” en su código, incorpora varios de los exploits que actualmente representan la mayor tasa de éxito.

Simple statistics
Muestra información sobre los datos generales en tonos a la información grabada con PEK.

Advanced statistics
Muestra información detallada de los sistemas operativos y navegadores vulnerados.

Countries statistics
Muestra datos estadísticos de los países donde se encuentran los zombis.

Referer data
Lista las páginas web de referencia directa.

La lista que presenta la versión empleada para este artículo es muy larga, pero se encuentra completa en el siguiente enlace: PEK v2.3 Referers List.

Upload module
Permite actualizar el malware que se disemina.

Los exploits que incorpora por defecto esta versión son:

IE MDAC CVE-2006-0003
Adobe Flash 9 CVE-2007-0071
Adobe Flash 10 CVE-2009-1869
Adobe Reader CollectEmailInfo CVE-2007-5659
Adobe Reader util.printf CVE-2008-2992
Adobe Reader Collab GetIcon CVE-2009-0927
Adobe Reader newPlayer CVE-2009-4324
Adobe Reader LibTiff CVE-2010-0188
Adobe PDF SWF CVE-2010-1297
Adobe Reader/Foxit Reader PDF OPEN CVE-2009-0836
Java HsbParser.getSoundBank (GSB) CVE-2009-3867
Java Runtime Environment (JRE) CVE-2008-5353
Java SMB CVE-2010-0746
IE iepeers CVE-2010-0806
Windows Help Center (HCP) CVE-2010-1885
IE SnapShot Viewer ActiveX CVE-2008-2463

Su "puesta en venta" se comenzó a principios de Julio de 2010 a un costo de $ 2.200. Un detalle interesante lo constituye la frase que se muestra con el logotipo: "CONCORDIA, INTEGRITAS, INDUSTRIA…", tres palabras en latín que se encuentran íntimamente relacionadas con una famosa familia alemana. Su traducción es concordia, integridad y diligencia.

Respecto al binario ejecutable propagado, en este caso, se trata de una variante del troyano generado con el constructor privado de SpyEye: