MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

31.3.10

Strike Botnet, otra crimeware que nace

Según dice el autor "Strike Botnet es una botnet basada en http a partir de la cuál puedes controlar literalmente miles de computadoras al mismo tiempo, sin que ellos siquiera se den cuenta".

El incremento gradual en el desarrollo de botnets es bastante interesante, y esta vez "SqUeEzEr" (Scott Van Dinter, un joven de unos 18 años según nos dicen algunos de sus perfiles online) nos trae una botnet desarrollada en VB6, con algo inline ASM dentro de ella.

La botnet opera bajo Ring3, lo que hace su detección bastante más simple. Fue testeada bajo Windows XP, Windows Vista y Windows 7.

Previsualización del código, que como se puede ver, está desarrollado en VB6. En el módulo "InitializeEngine" podemos notar una Función con Inline-Asm en ella. Entre sus funciones encontramos:

ActiveX Startup. Sencillamente un método de startup ya bastante conocido.

Anti-Checking Avanzado. La botnet crea distintos threads que a su vez realizan chequeos constantes. 10 Métodos de Anti-Checking.

Ataque. Como toda Botnet que sirve a sus principios, posee un sistema de DDOS que trabaja a través de conexiones TCP y corre en el background.

Firewall Bypass. Se añade a la lista de permitidos de Windows Firewall. Elimina los Hooks de Ring3 de Firewalls conocidos.

Protección del Proceso. Sistema que permite que el proceso no pueda ser cerrado.
Protección de Archivos. Protegido de la eliminación, aún cuándo no está en ejecución.

No puede ser eliminado por Rootkit Unhooker.


Robo de Serials
. Aprovechándose de su estadía en la PC, el sistema de Strike aprovecha para robar claves de producto de Windows, entre otras 200 claves.

Sockets
. Utiliza Sockets de API (lo que significa que no utiliza el ya conocido Winsock) para conectarse con la interfaz web. También utiliza el protocolo HTTP para burlar Firewalls.

Propagación
. Se propaga a todo archivo ZIP/RAR que encuentre en el sistema infectado.

Passwords de MSN
. Capacidad para robar contraseñas de MSN.

Passwords de Internet Explorer
. Capacidad para robar contraseñas de Internet Explorer.

Actualizaciones
. Una capacidad bastante interesante, que le permite actualizarse y descargar nuevas versiones automáticamente.

Funciones Standard

  • Exit, comando que permite terminar el proceso de Strike.
  • Melt, sistema para remover completamente del sistema (No se corresponde con la definición más conocida de “Melting”).
  • Bsod, la famosa Blue Screen of Death en acción.
  • Kill, función para eliminar archivos.
  • Exec, función para ejecutar archivos.
  • Down, algo parecido al conocido Wget, que permite descargar archivos a través del protocolo HTTP y ejecutarlos.
Todas sus funciones son dinámicas, y son unhookeadas antes de ser llamadas Strike posee también un builder que no utiliza EOF y puede detectar si la botnet ya está instalada en el sistema.

Por último, Strike es FUD (Fully Undetectable) a la hora de compilarse (por lo tanto no utiliza crypting). Según promete el autor, en el plazo de una semana será subido un video del funcionamiento de esta botnet.

Mariano Miguel
Malware Researcher en MalwareIntelligence

Ver más

28.3.10

Web de Hooters Alemania comprometida con phishing a HSBC

Hooters es una cadena de restaurantes que posee sucursales en un buen número de países. En la Wikipedia podrán leer más acerca de lo particular de estos comercios de comida, quien conoce alguno sabe a qué me refiero, y quién no ha tenido la oportunidad de visitar un hooters… no sabe lo que se pierde *** comentarios entre paréntesis **** :-)

La cuestión es que el sitio web de hooters Alemania ha sido comprometido con un ataque de phishing contra la entidad bancaria HSBC. La primera imagen muestra el sitio real y la segunda el phishing alojado en el mismo hosting.



Ahora, la pregunta es cómo darse cuenta que se trata de una página falsa. A pesar de ser una copia casi fiel de la real, el primero de los puntos relevantes es que en este caso, la dirección no se parece en nada a la real.

En segundo lugar, si queremos profundizar un poquito más podemos mirar el código fuente del HTML que, a simple vista, también parece el real, sin embargo, una serie de detalles, sin entrar en contenidos técnicos, pueden dar la pauta que estamos frente a un intento de fraude.

Miremos un segundo una parte de código perteneciente a la página real:
Observamos que rel="canonical" hace referencia a la url http://www.hsbc.co.uk/1/2, y que los estilos del sitio se encuentran en /1/themes/HTML/hsbc_unpersonal/css/.

Ahora observemos la misma parte del código pero de la página falsa:

Porqué llamar a los archivos de estilo desde la dirección completa del sitio real, cuando se supone que el contenido se encuentra en el mismo posting. Mmmmmmmm, es sólo un detalle pero... ¿no les parece extraño?

PD: el paquete de phishing alojado en el sitio contiene, entre otros, un archivo llamado loginfinish.php, con la siguiente información:


Información relacionada
Phishing Database IV
Nueva campaña de phishing contra Facebook encabezada por ZeuS
Campaña de phishing orientada a jugadores de Zynga
Campaña de phishing a Facebook y VISA propuesta por ZeuS
Disección de un kit fraudulento. Wachovia phishing attack

Jorge Mieres

Ver más

iPack y GOLOD. Nuevos crimeware en la escena delictiva

La oferta y la demanda en cuanto a las alternativas crimeware sigue creciendo, y en los últimos meses han aparecido algunas alternativas más, entre ellas iPack y GOLOD.

GOLOD es un cargador residente (resident loader) escrito en C++ y de origen ruso que intenta insertarse en la escena delictiva al costo de USD 500 por su implementación en el dominio del comprador, más USD 675 en caso de su adquisición junto a un dominio y USD 60 más si se incluye la limpieza del crimeware.

Las actualizaciones son gratuitas y el desarrollador ofrece soporte del tipo 24x7. Su venta se puso en ejecución durante los primeros días de marzo de 2010

Funciona prácticamente en todos los sistemas operativos de Microsoft y como todo crimeware de este estilo permite la gestión de botnets a través del C&C vía web.

Si bien este tipo de crimeware no dice mucho y termina siendo uno más del montón, es interesante ver cómo los delincuentes intentan lavarse las manos respecto al desarrollo de las aplicaciones.

Es decir, en función de la legislación de cada país, puede resultar un tanto ambiguo pensar que el desarrollo de aplicaciones diseñadas simplemente para diseminar malware y además fomentarlo, es legal o ilegal.

A continuación dejo una frase del autor que refleja lo anteriormente mencionado:

“Программа представлена для ознакомительных и исследовательских целей. Ответственность использования ее в незаконных целях лежит на плечах того, кто ееиспользует.”

Algo así como:

“El programa está desarrollado con fines educativos y propósitos de investigación. La responsabilidad por el uso ilegal de mismo recae sobre los hombros de quien lo emplea con esos fines.”

Por otro lado, en el caso de iPack se trata de un exploit pack, también de reciente aparición y cuyo valor es de USD 500 por el paquete, con la opción de cifrado y cambio de dominios por USD 100 más.

A pesar de tener un nombre y un diseño que guarda relación directa con los productos de Mac OS, lejos está de ser un crimeware orientado a estas plataformas.

Los exploits que el paquete contiene por defecto son todos para plataformas Windows:

MDAC (CVE-2006-0003) – (MS06-014)
PDF collab.getIcon (CVE-2009-0927)
PDF Util.Printf (CVE-2008-2992)
PDF collab.collectEmailInfo (CVE-2008-0655)
PDF Doc.media.newPlayer (CVE-2009-4324)

En fin, nuevas alternativas en la escenografía del negocio fraudulento que representa el crimeware.

Información relacionada
myLoader. Framework para la gestión de botnets
SpyEye. Nuevo bot en el mercado
Estado del arte en Eleonore Exploit Pack
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
DDoS Botnet. Nuevo crimeware de propósito particular
JustExploit. Nuevo Exploit Kit que explota Java
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi

Jorge Mieres

Ver más

27.3.10

Phishing Database IV

Instituciones finacieras y bancarias
HSBC (http://www.hsbc.com)
http://210.116.103.118/~kardex/gnuboard4/bbs//hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://www.restoretherepublic.com/wp-content/bank/images/online.html
http://72.16.130.62/.www.HSBC.co.uk/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://www.update-hsbc-co-uk.aux3erables.com/www9.hsbc.co.uk/www9.hsbc.co.uk/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000UyzfmbnkvKfK9fLILUpaTgF14et5m1u3IDV_URL=hsbc.MyHSBC_pib/www.hsbc.co.uk/IBlogin.html
http://www.absolute-basketball-chaoten.de/language/008/update/HSBCINTEGRATIONCAM10jsessionid=00001DwpIt0wIyX1arHd6K8mQB6URL=hsbc.MyHSBCpib/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib

VISA (http://www.visa.com)
http://195.140.132.196/~dan12794/visa/master/www.vbv.fr/images/fr/authentication.php

Lloyds TSB (http://www.lloydstsb.com)
http://blog.romanjewelers.com/wp-content/lloydsts/customer.php?ibc=customer.ibc

BMO - Bank of Montreal (www.bmo.com)
http://www.noo.cl/wp-content/uploads/2009/09/update/SA%60Absa/SECURE/update/images/bmo.com/BMO/BMO/BMO/BMO/BMO/BMO/BMO/BMO/bmo/index.htm

ANZ - Australia and New Zealand Banking Group Limited (www.anz.com)
http://www.manysblog.com/mambots/content/geshi/geshi/anz.com.au/inetbank/bankmain.asp/login.htm

Bank of America (http://www.bankofamerica.com)
http://66.232.119.78/~atlantic/livezilla/uploads/Onlineid.bankofamerica.com_2/Onlineid.bankofamerica.com/Onlineid.bankofamerica.com/Onlineid.bankofamerica.com/cgl-bin/ias/jVyelMehIUxiZq/oLzs55Ua8J/2QhDJp4S3N/Al03325/1/bofa/ibd/IAS/presentation/signonScreen.do

Central Bank of Nigeria (www.cenbank.org)
http://centralbank_cbn.t35.com/OnlineCBN.html
http://cbreconfirmation.t35.com/cbn.html
http://cbnonline10.t35.com/cbn2010.html
http://cbnconfirmupdate.t35.com/cbn.html
http://cbfinancialbank.t35.com/

Bank of America (http://www.bankofamerica.com)
http://boffa.t35.com/buddybb/
http://confirmation_sas_alert.t35.com/information_system_/
http://67.159.9.245/signon.php?section=signinpage&update=&cookiecheck=yes&destination=nba/signin
http://adminlogisboainfoverification.web.fc2.com/lolman/index.html

Bradesco (www.bradesco.com.br)
http://pleincontact.com/site/BradescoDia&Noite/log/site/perfil/
http://www.mithril.eu/login/for/bradesco.com.br/log/site/perfil/

Comercio electrónico
PayPal (https://www.paypal.com)
http://www.rap-05.com/ml/login/ci-g/index.htm
http://ttio.sqweebs.com/
http://rez.eb2a.com/cge-binxe/details.html?cmd=_login-done&login_access=1193476743
http://chechauthetification.t35.com/Aanmelden-voor-Premier-rekening-Inloggen.htm

eBay (www.ebay.com)
http://csgilogin.lx.ro/SignIncopartnerId2pUserIdsiteid101pageTypepa1i1bshowgifUsingSSLruppp2errmsgrunameruparamsruproducsidfavoritenavmigrateVisitor1.html

Online Games
Battle.net
http://us.bott1a.net/login/login.xml?ref=https://us.battle.net/account/management/index.xml&app=bam

Redes Sociales
Facebook (www.facebook.com)
http://cara_curang_poker.t35.com/Facebook.htm
http://cifka.t35.com/
http://connectingblog.t35.com/facebook/fackebook.html
http://clipfacebook.t35.com/Facebook.htm

Orkut (www.orkut.com)
http://connectingblog.t35.com/coll.htm

Kijiji (www.kijiji.com)
http://www.club-imperial.net/1/c-SignInrup=DefaultPage&ruq=ruq-3Dredirect-253Dwww.php
http://www.club-imperial.net/1/c-SignIn.php

Información relacionada
Phishing database III
Phishing database II
Phishing database I
Nueva campaña de phishing contra Facebook encabezada por ZeuS
Campaña de phishing orientada a jugadores de Zynga
Scam de ZeuS sobre IRS continúa siendo activamente explotado
Nueva campaña de phishing de ZeuS contra Google y Blogger
Campaña de phishing a Facebook y VISA propuesta por ZeuS
Disección de un kit fraudulento. Wachovia phishing attack

Jorge Mieres

Ver más

19.3.10

Archivo .sys utilizado en el ataque Aurora - Análisis externo del archivo

En primer lugar, me gustaría dar las gracias a MalwareIntelligence donde escribo como investigador por facilitarme este archivo.

En el ataque Aurora, se había utilizado un archivo .sys, denominado msconfig32.sys.

Yo estaba muy curioso sobre lo que hace este controlador, y por qué nadie en el mundo lo había analizado.

Había tenido un terrible viaje para obtener el archivo. Nadie lo tenía. Nadie quería compartirlo. Tuve mucha suerte ya que en MalwareIntelligence teníamos los contactos adecuados para obtener este archivo.

Como le he dicho a un gran número de personas, hay muchas razones para utilizar controladores en este tipo de ataque, pero está bastante claro que los atacantes no iban a ocultarse de sus conexiones. Lo único que podría tener es pensar en escribir un controlador para obtener información sobre el estado físico de la versión de pantalla (Debido a que los atacantes utilizan parches de VNC, un controlador puede consultar el estado de la pantalla, y si se cerró / stand by es seguro para trabajar, también, este tipo de controlador podría haber salvado a los puntos de restauración del equipo antes de que el atacante comience a buscar archivos dentro del ordenador, y una vez que la pantalla es de seguridad, restaurar todo a su estado original - más de esta idea está en mi presentación en ihackbanme.com.

Pero parece que este no es el caso. Eso es lo que estaba buscando. Que lo que he estado tratando de buscar, pero había estado allí todo el tiempo. El archivo .sys, no era un controlador.

Primero echemos un vistazo rápido a los archivos (el archivo .sys es un PE):





¿Y bien? ¿Qué es eso? ¿Por qué hay 0x20 en todo el archivo? se supone que debe ser 0x00 en esas zonas .. Obviamente es un XOR. Se tiene una base como un EP, pero seguro que tiene un aspecto diferente, XOR o algún tipo de lucha contra la posibilidad de realizar ingeniería inversa sobre él. Esa es la primera mirada.

Echemos un vistazo a + - el mismo tamaño de otros, válida, controlador de Microsoft:


¿Puedes notar la diferencia? ¿Dónde por lo general está 0x00 hay 0x20. Extraño. Veamos más en el archivo msconfig32.sys:

Espera! ?!@@#$ ¿Por qué existen archivos .dll mencionado después de la marca de los recursos? No te has visto que en un controlador antes de ... Vamos, tome de nuevo un vistazo a un controlador válida de nuevo:

Nosotros no vemos ese tipo de cosas, sin embargo, seguimos viendo 0x20 en lugar de partes donde debe haber 0x00...

Extraño. Tal vez es un .exe en su lugar? No hay que rendirse! Vamos a tratar de cargar y ver si el controlador puede ser cargado como está. He optado por utilizar SCM (Service Control Manager), construido en el mecanismo para cargar los controladores, en vez de escribir un gestor de mí mismo. El conductor puede ser cargado de muchas maneras, incluyendo el reemplazo de otros sistemas de archivo, el registro rápido en el Registro de Windows o de otras maneras (se puede encontrar algo más de información en el libro Rootkit - Subverting The Windows Kernel - Página 40 : The quick and dirty way to load a driver, o páginas 46,47. Enjoy).


He decidido utilizar SCM, y cargar el controlador de la SC. Así que vamos a hacerlo:

En primer lugar he hecho una nueva verificación para ver que no ha cambiado el archivo, el archivo que necesitaba era msconfig32.sys involucrado en el ataque Aurora con el siguiente md5: 7a62295f70642fedf0d5a5637feb7986), después de que lo he hecho, he escrito un comando sc para cargar el controlador desde: C:\msconfig32.sys.

El comando y los controles se adjuntan en el cuadro siguiente:



El controlador especificado no es válido?! ¿Qué tal? El archivo no es ciertamente un controlador .sys válida (como es, puede ser cambiado un poco para aparentar ser un archivo .sys). Entonces, ¿qué es?

Tratar el método ordinario de abrir el archivo en PEExplorer/IDA/Olly/Analizadores PE no funcionaría, ya que el archivo está bastante deteriorado, de una manera la cabecera se encuentra totalmente dañada y la manera en que el archivo se comporta algo está ahí, pero no es un sistema de archivos habitual.

Así que ... Vamos a tratar de meterse con un poco, tal vez operación XOR de nuevo con 0x20, dio nada. Otras ideas que he intentado (tratado tantos que ni siquiera puedo escribir a todos ellos), no van bien. El archivo parece estar corrupto.

Intentar cargar como una DLL, o la apertura bajo .exe falla.

Traté de jugar con un poco más, y encontré que un CERT publicó un aviso en el que han escrito las siguientes cosas:
ad_1_.jpg
MD5: CD36A3071A315C3BE6AC3366D80BB59C Byte Size:
34816
Appears to be packed executable. Significant portion of file is
XOR'd
0x95

Hay otro archivo, con .jpg, y no es un jpg. El archivo se XOR'd con 0x95. ¿Te suena? Sí lo hace. Creo que es el mismo tipo de método utilizado, pero esta vez, ellos han llamado a su archivo .sys en su lugar.

O, el archivo se está descargando, paso tras paso, y hasta que termine la descarga que crear primero un archivo, lleno de 0x20s y sobrescribe con el archivo real. Que podría haber explicado el tamaño de la misma (4kb).

Así que he comprobado, es el archivo comprimido? ¿Cómo puedo comprobar, sin saber qué tipo de compresión se utiliza? Lo más fácil es tomar la carga del archivo PE, y la escribiré en otro archivo. Después lo he hecho, he intentado comprimir de nuevo, y adivinen qué? El archivo, después de la compresión, es más grande que el original. Es decir, parte de la carga útil fue comprimida.

Todavía no podía entender lo que contenía. Voy a seguir con la investigación y esperamos que encuentre algo :). Lástima que no era un controlador real, aunque ...

Espero que te haya gustado mi análisis externo, porque no podía examinar el archivo (como lo fue "corrompido", o al menos-no en un formato válido). a veces es todo lo que se puede hacer. Aunque, ahora sabemos que este archivo no fue un impulso real (pero aún así, podría haber contenido una dentro - comprimido).

¿alguna idea?


Itzhak Avraham
Malware Researcher in MalwareIntelligence

Ver más

15.3.10

Nueva campaña de phishing contra Facebook encabezada por ZeuS

Actualización 15.03.2010
Nuevos dominios han sido liberados y posee ataque multi-stage mediante el cual se encadenan varias páginas web con contenido malicioso.


La última descarga un binario llamado update.exe (19d9cc4d9d512e60f61746ef4c741f09) que es una variante del troyano ZeuS, que posee una tasa de detección alta.

El encadenamiento es el siguiente:


Original 14.03.2010
A esta altura del "circo", no cabe la menor duda, como siempre digo, de que ZeuS es la "creme de la creme" actual en materia de crimeware.

Hace un tiempo hemos alertado sobre diferentes campañas donde el patrón, en todos los casos y sin excepción, es la explotación de ingeniería social para ejecutar algún componente fraudulento, y el objetivo es el robo de información sensible.

Casos como la campaña anterior de ZeuS empleando la imagen de Facebook y los ataques de phishing empleando como cobertura principal servicios populares, entre ellos IRS, VISA, Google y Blogger, entre muchos otros, son ejemplos concretos que demuestran cual es la magnitud del negocio que ofrece ZeuS para los delincuentes informáticos.

Hace unos días, una nueva campaña de materializó de la mano de ZeuS, involucrando una importante batería de dominios maliciosos. Entre ellos:

downloads.legomay.com/id735rp/LoginFacebook.php
downloads.legomay.net/id735rp/LoginFacebook.php
downloads.legomay.org/id735rp/LoginFacebook.php
downloads.megavids.org/id735rp/LoginFacebook.php
downloads.migpix.com/id735rp/LoginFacebook.php
downloads.migpix.net/id735rp/LoginFacebook.php
downloads.migpix.org/id735rp/LoginFacebook.php
downloads.modavedis.com/id735rp/LoginFacebook.php
downloads.modavedis.net/id735rp/LoginFacebook.php
downloads.modavedis.org/id735rp/LoginFacebook.php
downloads.portodrive.org/id735rp/LoginFacebook.php
downloads.reggiepix.com/id735rp/LoginFacebook.php
downloads.reggiepix.net/id735rp/LoginFacebook.php
downloads.reggiepix.org/id735rp/LoginFacebook.php
downloads.regzapix.com/id735rp/LoginFacebook.php
downloads.regzapix.net/id735rp/LoginFacebook.php
downloads.regzapix.org/id735rp/LoginFacebook.php
downloads.regzavids.com/id735rp/LoginFacebook.php
downloads.regzavids.net/id735rp/LoginFacebook.php
downloads.regzavids.org/id735rp/LoginFacebook.php
downloads.restopix.org/id735rp/LoginFacebook.php
downloads.restpictures.com/id735rp/LoginFacebook.php
downloads.restpictures.net/id735rp/LoginFacebook.php
downloads.restpictures.org/id735rp/LoginFacebook.php
downloads.restway.net/id735rp/LoginFacebook.php
downloads.restway.org/id735rp/LoginFacebook.php
downloads.tastyfiles.net/id735rp/LoginFacebook.php
downloads.vedivids.com/id735rp/LoginFacebook.php
downloads.vedivids.net/id735rp/LoginFacebook.php
downloads.vedivids.org/id735rp/LoginFacebook.php
downloads.vediway.com/id735rp/LoginFacebook.php
downloads.vediway.net/id735rp/LoginFacebook.php
downloads.vediway.org/id735rp/LoginFacebook.php

auth.facebook.com.legomay.com/id735rp/LoginFacebook.php
auth.facebook.com.legomay.net/id735rp/LoginFacebook.php
auth.facebook.com.legomay.org/id735rp/LoginFacebook.php
auth.facebook.com.megavids.org/id735rp/LoginFacebook.php
auth.facebook.com.migpix.com/id735rp/LoginFacebook.php
auth.facebook.com.migpix.net/id735rp/LoginFacebook.php
auth.facebook.com.migpix.org/id735rp/LoginFacebook.php
auth.facebook.com.modavedis.com/id735rp/LoginFacebook.php
auth.facebook.com.modavedis.net/id735rp/LoginFacebook.php
auth.facebook.com.modavedis.org/id735rp/LoginFacebook.php
auth.facebook.com.portodrive.org/id735rp/LoginFacebook.php
auth.facebook.com.reggiepix.com/id735rp/LoginFacebook.php
auth.facebook.com.reggiepix.net/id735rp/LoginFacebook.php
auth.facebook.com.reggiepix.org/id735rp/LoginFacebook.php
auth.facebook.com.regzapix.com/id735rp/LoginFacebook.php
auth.facebook.com.regzapix.net/id735rp/LoginFacebook.php
auth.facebook.com.regzapix.org/id735rp/LoginFacebook.php
auth.facebook.com.regzavids.com/id735rp/LoginFacebook.php
auth.facebook.com.regzavids.net/id735rp/LoginFacebook.php
auth.facebook.com.regzavids.org/id735rp/LoginFacebook.php
auth.facebook.com.restopix.org/id735rp/LoginFacebook.php
auth.facebook.com.restpictures.com/id735rp/LoginFacebook.php
auth.facebook.com.restpictures.net/id735rp/LoginFacebook.php
auth.facebook.com.restpictures.org/id735rp/LoginFacebook.php
auth.facebook.com.restway.net/id735rp/LoginFacebook.php
auth.facebook.com.restway.org/id735rp/LoginFacebook.php
auth.facebook.com.tastyfiles.net/id735rp/LoginFacebook.php
auth.facebook.com.vedivids.com/id735rp/LoginFacebook.php
auth.facebook.com.vedivids.net/id735rp/LoginFacebook.php
auth.facebook.com.vedivids.org/id735rp/LoginFacebook.php
auth.facebook.com.vediway.com/id735rp/LoginFacebook.php
auth.facebook.com.vediway.net/id735rp/LoginFacebook.php
auth.facebook.com.vediway.org/id735rp/LoginFacebook.php

La carpeta id735rp contiene, además del kit de phishing, el troyano de ZeuS, que en este caso se manifiesta bajo el nombre photo.exe (19d9cc4d9d512e60f61746ef4c741f09).

Incluso, en mismo formato de estrategia URL está siendo utilizado por otro conocido crimeware: Phoenix Exploit Pack.


Información relacionada
ZeuS y el robo de información sensible
Campaña de phishing a Facebook y VISA propuesta por ZeuS
Nueva campaña de phishing de ZeuS contra Google y Blogger
Scam de ZeuS sobre IRS continúa siendo activamente explotado
Aprovechando ZeuS para enviar spam a través de redes sociales
ZeuS Botnet y su poder de reclutamiento zombi
ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

Ver más

12.3.10

Campaña de phishing orientada a jugadores de Zynga

Zynga es una compañía desarrolladora de juegos virtuales que dispone de un amplio repertorio de juegos en flash, permitiendo divertirse con ellos incluso a través de algunas redes sociales como Facebook, MySpace y Tagged, entre otros.

Recientemente la imagen de Zynga esta siendo empleada como campaña de phishing empleando como cobertura la animación de algunos de los juegos que la compañía ofrece.

Los dominios involucrados en la campaña son los siguientes:

claimpokerbonus.t35.com/zynga_poker/
claimpokerbonus.t35.com/zynga%20bonus/login_failed.php
claimpokerbonus.t35.com/zynga%20poker/login_failed.php
claimpokerbonus.t35.com/zynga/chip_bonus/login_failed.php
claimpokerbonus.t35.com/zynga_bonus/login_failed.php
claimpokerbonus.t35.com/zynga/poker_chips/login_failed.php
claimpokerbonus.t35.com/zynga/poker_bonus/login_failed.php
claimpokerbonus.t35.com/zynga/claim_poker/login_failed.php

claimpokerbonus.t35.com/zynga/claim_bonus/login_failed.php
claimpokerbonus.t35.com/zynga/chips_bonus/login_failed.php
claimpokerbonus.t35.com/games_bonuschips/zynga_bonus/login_failed.htm
claimpokerbonus.t35.com/games_bonuschips/claim_bonus/login_failed.htm
claimpokerbonus.t35.com/games_bonuschips/login_failed.htm
claimpokerbonus.t35.com/poker-bonus/login_failed.htm
claimpokerbonus.t35.com/poker_chipclaim/login_failed.htm
claimpokerbonus.t35.com/zynga-dailygift/login_failed.htm
claimpokerbonus.t35.com/zynga-game-bonus/login_failed.htm
claimpokerbonus.t35.com/game_lottery/login_failed.htm
claimpokerbonus.t35.com/game_bonus/login_failed.htm
claimpokerbonus.t35.com/claim_poker/login_failed.php


claimpokerbonus.t35.com/claim%20poker/login-failed.html
claimpokerbonus.t35.com/claim%20bonus/login-failed.html
claimpokerbonus.t35.com/Bonus/login_failed.php
claimpokerbonus.t35.com/Bonus/games/login_failed.php
claimpokerbonus.t35.com/Bonus/claim_poker/login_failed.php
claimpokerbonus.t35.com/Bonus/claim_chips/login_failed.php

La estructura de la cada carpeta que contiene los archivos empleados durante el proceso de fraude se compone de los archivos login_failed.php, logs.php, search.php, succes.html y dos archivos con extensión .txt en los cuales se registran los datos robados en texto claro.

El archivo succes.html es llamado desde el archivo logs.php y contiene dos exploits para las vulnerabilidades descriptas en CVE-2008-2463 (Office Snapshot Viewer) y CVE-2008-0015 (MsVidCtl Overflow).

Por otro lado, contiene un Drive-by-Download mediante una etiqueta iframe que redirecciona hacia Trenz.pl/rc/pdf.php?spl=pdf_ie2 desde donde se descarga un archivo pdf detectado por el 50% de los motores antivirus que ofrece el servicio de VirusTotal, y cuyo md5 es 47ea66b43e25169e6bb256e000a16ffd. Además, también descarga el archivo load.exe (c2a41abc43dd0bcf98ae07315eb4c6f6). En este caso, detectado por el 90%.

Ambos archivos se encuentran In-the-Wild y forman parte de un conocido Exploit pack en su versión 1.2: Eleonore Exploit Pack.


Información relacionada
Phishing database III
Disección de un kit fraudulento. Wachovia phishing...
Estado del arte en Eleonore Exploit Pack

Jorge Mieres

Ver más

7.3.10

Oficla botnet con más de 200.000 zombis reclutados

En una reciente investigación, hemos descubierto una botnet de Oficla, también conocido como Sasfis según la nomenclatura de algunas compañías antivirus, con un importante volumen de zombis reclutados en 48 países, lo que demuestra la connotación a gran escala que representa la misma en el escenario crimeware.

La base de comando y control (C&C) de esta botnet de Oficla es gestionada a través del crimeware myLoader (cuyo costo en el mercado underground es de USD 700) y se encuentra en Rusia, país en el cual se concentra el mayor número de computadoras infectadas con un total de 116.393, seguido por Ucrania con 53.746.

El total de zombis que forman parte de esta botnet asciende a una alarmante cantidad de 210.619. Esta información puede ser corroborada a través de la siguiente captura.

Si bien la cifra es alarmante, la problemática es mucho más profunda y preocupante. Es decir, para que un sistema forme parte activa de una botnet, implica que previamente fue infectada por algún código malicioso (en este caso, por Oficla/Sasfis), lo cual deja en evidencia la falla de los mecanismos de seguridad implementados para contrarrestar este tipo de amenazas.

No sólo en cuanto a la prevención de la infección sino que también, para detectar, en función del tráfico del tipo TCP/IP y HTTP, que el sistema forma parte de una botnet.

Por otro lado, es importante destacar que el reclutamiento de esta botnet sigue en aumento con aproximadamente 120 computadoras infectadas por hora.

Un informe con mayor detalles sobre el framework de gestión y el poder de reclutamiento de la botnet Oficla/Sasfis puede ser descargado desde la sección papers de Malware Intelligence.

Información relacionada
myLoader. Framework para la gestión de botnets
SpyEye Bot. Análisis de una nueva alternativa del escenario crimeware
Estado del arte en Eleonore Exploit Pack
RussKill. Aplicación para realizar ataques de DoS
DDoS Botnet. Nuevo crimeware de propósito particular
ZeuS Botnet y su poder de reclutamiento zombi

Jorge Mieres

Ver más

6.3.10

myLoader. Framework para la gestión de botnets

myLoader es otra de las alternativas con las que cuentan los ciberdelincuentes para la gestión y administración de botnets. Su tiempo de vida es de aproximadamente un semestre, pero su mayor actividad se esta gestionando durante el último mes del primer trimestre de 2010.


Posee una interfaz minimalista pero cuenta con recolección de datos que se devuelven de forma ordenada a través de gráficos muy intuitivos mediante los cuales se obtiene el estado de la botnet controlada.

En este caso, se trata de una botnet prematura que posee 1922 zombis reclutados, de las cuales 299 se encontraban activas. Sin embargo, hemos detectado varias que cuentan con un importante volumen de zombis.

Independientemente de la prematura actividad de este crimeware, la cierto es que representa un claro ejemplo más, del real alcance del negocio fraudulento que en la actualidad se constituye desde la clandestinidad underground.

Este crimeware se comercializa en el mercado under a USD 700.

Actualmente, myLoader es el framework que está siendo utilizado para propagar el troyano Oficla, también conocido como Sasfis.

Información relacionada
SpyEye. Nuevo bot en el mercado
Estado del arte en Eleonore Exploit Pack
Siberia Exploit Pack. Otro paquete de explois In-the-Wild
RussKill. Aplicación para realizar ataques de DoS
DDoS Botnet. Nuevo crimeware de propósito particular
JustExploit. Nuevo Exploit Kit que explota Java
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi

Jorge Mieres

Ver más