MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

20.2.11

¡Hasta pronto Jorge Mieres!

Como muchos de los lectores saben, este medio de información que en este momento leen, fue fundado por Jorge Mieres durante el año 2006. Lo que seguramente no saben es que hace varios meses, Jorge ha decidido alejarse del frente de MalwareIntelligence, dejándonos con completa confianza (una de las tantas cualidades y características de Jorge) el mando de su legado.

Por este motivo y por intermedio de estas breves palabras, es nuestro deseo agradecerle no solo la posibilidad de permitirnos continuar con su filosofía que es la esencia de MalwareIntelligence, que sin lugar a dudas se ha transformado en un medio de información indiscutible a nivel local y global sobre todo lo relacionado al crimeware y actividades de botnets, sino también por la cantidad de información relevante que de forma desinteresada compartió con la comunidad de seguridad a través de este por siempre su blog :D, por su calidad como persona y, sobre todas las cosas, por su admirable humildad.

Seguramente Jorge seguira compartiendo cosas desde su blog personal o en el de catarsis como siempre lo llama :D, así que seguro allí lo encontrarán :)

¡Muchas gracias Jorge!

MalwareIntelligence Team

Ver más

19.2.11

Inside Carberp Botnet

A principios del 2010, desde MalwareIntelligence comenzamos a investigar una nueva botnet destinada al aglutinamiento de información sensible relacionada a cuentas bancarias, y robo de credenciales para explotar una inquietante lista de programas.

NOTA: Al pie de este artículo podrán encontrar el enlace para la descarga del Whitepaper completo, llamado “Inside Carberp Botnet”, que describe las diferentes piezas internas que componen Carberp.

Carberp, a diferencia de SpyEye y ZeuS, no era (y tampoco lo es hoy) un crimeware comercializado a gran escala, sino más bien a un grupo reducido de personas. Prueba de ello eran (y son) los pocos C&C que operan esta botnet. Que además, para poder implementarla, necesitan licencias de uso para poder utilizar el constructor y el panel de administración.

Después de un tiempo con altos niveles de actividad a través de estos C&C, nos extrañamos cuando notamos que fueron desapareciendo gradualmente y más aún cuando la gran mayoría actualizaron a la nueva versión hacía menos de dos meses. Aún así quedaban algunos C&C que se resistían a desaparecer, aunque creemos que en realidad los botmaster que la operaban se negaban a dejar de lado este malware.

Durante enero de este año Seculert publicó un artículo en el cual se habla de la nueva versión de Carberp, con un panel totalmente nuevo y novedades en el bot.

En MalwareIntelligence encontramos solo un C&C con estas características, y tenemos varios indicios por los cuales creemos que no se trata de una versión "oficial" de Carberp, sino de una modificación del bot original, de la interfaz y de algunas funcionalidades del crimeware.

Estos singulares indicios, también evidenciarían una posible ruptura del grupo que se esconde detrás del desarrollo, comercialización y explotación del crimeware.

En las últimas semanas hemos comenzado a notar una actividad creciente de nuevos C&C de Carberp. Sin embargo, estos no corresponden a la versión anterior comentada en "Inside Carberp Botnet", sino que son los mismos crimeware que cesaron actividad durante diciembre del 2010. Estos datos refuerzan nuestra teoría de que en realidad el panel de administración referenciado por Seculert, no se trata realmente del nuevo Carberp.

Decidimos retomar la investigación para obtener mayor información sobre esta "resurrección" de Carberp y, en base a los conocimientos que ya teníamos de esta botnet, publicar nuestro informe interno. Pero además, exponer a través del presente los primeros resultados de la segunda parte de la investigación.

Carberp ha comenzado a ser anunciado entre la comunidad del crimeware, algo que hasta ahora no había sucedido y sin lugar a dudas, es precisamente este el motivo por el cual ha vuelto a tomar notoriedad en los medios de información.

¿Cambio el modelo de negocio? Realmente no lo podemos asegurar aún, pero puede ser que esta botnet esté empezando a ser comercializada ampliando la cobertura de la oferta, o que algún otro grupo delictivo (quizás conformado por algún integrante del grupo original desarrollador de Carberp) haya aprovechado la ocasión para sacar una nueva versión inspirada en la original e intentar comercializarla.

El siguiente texto corresponde al anuncia mediante el cual esta nueva variante de Carberp está intentando ser comercializada (texto bruto):

Carberp. Troyano bancario multipropósito
Funciona en cualquier sistema: Windows XP/Vista/7 con cuentas limitadas.
El bot contiene:

  • Loader
  • FTP Grabber
  • Password Grabber
  • Forms Grabber
  • FTP Sniffer
  • Backconnect (Soporta hasta 500 conexiones)
  • Eliminación de cookies en IE y Firefox.
  • Inyecciones en IE y Firefox.
  • Posibilidad de hacer capturas de pantalla directamente desde el js.
  • %user_id% insertar en el html la uid.
  • El constructor
  • Una muestra de las inyecciones y muchas más opciones.
  • Sistema de plugins.
  • Comando multidownload capaz de bajar 20 exe simultáneamente
MiniAV
Detecta y elimina el siguiente malware:
ZeuS, Limbo, Barracuda, Adrenalin, MyLoader, BlackEnergy, SpyEye.



NOTA: A diferencia de la anterior versión, esta incorpora un "Mata SpyEye" mediante el cual también intenta deshacerse de este crimeware.

Bloqueo de actualizaciones de los antivirus:
vg8, avg9, arca2009, arca2008, avast5, ESET NOD32 Antivirus 3.x/4.x, ESET Smart Security 3.x/4.x, Avira Premium Security Suite, Avira AntiVir Premium, Avira AntiVir Professional, BitDefender Antivirus 2010, McAfee AntiVirus Plus 10, Microsoft Security Essentials, DrWeb     .

Lista de programas del grabber:
Messengers, Miranda, ICQ2003, RQ, Trillian, ICQ99b, MSN, Yahoo, AIM, Gaim, QIP, Odigo, IM2, SIM, GTalk, PSI, Faim, LiveMessenger, PalTalk, Excite, Gizmo, Pidgin, AIMPRO, MySpace, Pandion, QIPOnline, JAJC, Digsby, Astra, Post clients, Becky, The_Bat, Outlook, Eudora, Gmail, MRA, IncrediMail, GroupMailFree, VypressAuvis, PocoMail, ForteAgent, Scribe, POPPeeper, MailCommander, Windows_Mail_Live, Windows_Mail_Vista.

FTP Clients:
TotalCommander, Far Manager, WS_FTP, CuteFtp, FlashFXP, FileZilla, FTP Commander, FTP Navigator, BulletProof, SmartFTP, TurboFTP, FFFTP, CoffeCup, CoreFTP, FTP Explorer, Frigate3, UltraFXP, FTPRush, SecureFX, WebPublisher, BitKinex, ExpanDrive, Classic FTP DC, Fling, SoftX FTP Client, Directory Opus, FTP Uploader, Free FTP, DirectFTP, LeapFTP, WinSCP.

Navegadores:
Firefox, Safari, Opera, IE, Chrome.

Otros:
SysInfo, WinVNC, ScreenSaver, ASPNET, RDP, FreeCall, CamFrog, PCRemoteControl, NetCache, CiscoVPN, Credentials.

Sistema backconnect:

  • Para la recepción de los bots se usa win32-appendix.
  • Permite usar los bots como SOCKS5-Proxy.
  • Hay opciones parar configurar los puertos, número de bots, tiempos, etc.
  • Posibilidad de autentificación en los proxys.
  • Es posible desconectar un bot obligatoriamente cuando se requiera.
Inyecciones:
  • Las inyecciones funcionan en IE y Firefox.
  • Programa para configurar las inyecciones.
Builder:
  • Capacidad para configurar 3 dominios.
  • Requiere de una licencia.
Autocrypt system: 
Hay un metamorph cryptor que se va comprobando mediante los antivirus.
    Browser:
    • Funciona con la sesión del usuario de bot, aunque este sea sin privilegios (cuenta limitada).
    • Es posible recibir capturas de pantalla del usuario y de otras partes del sistema.
    • Modo latente, el usuario no nota nada extraño.
    • El browser es totalmente invisible para el usuario.
    • El browser no se ve ni cuando se rellena un formulario.
    • Es posible "secuestrar" el navegador del usuario y trabajar con el.
    • Mirar los archivos del bot asi como bajarlos.
    Licencia:
    • En la licencia entra un panel + el constructor.
    • Restricciones en el número de servidores según la licencia.
    • Para operar más de una botnet se requiere de la segunda licencia.
    • Esta prohibido reorientar la botnet hacia otro servidor que no sea el proporcionado.
    • Nos fijamos atentamente en todas las licencias, cualquier infracción conllevará la pérdida de la licencia y un DDoS en los servidores y dominios infractores.
    • El panel está protegido con IonCube.
    • El bot está protegido con nuestro sistema de seguridad. En cada actualización cambiamos la forma del bot, haciendo difícil la tarea de que sea catalogado.
    • Está prohibida la reventa.
    Próximas actualizaciones:
    • Bilder (60%).
    • Módulo DDoS (90%).
    • Inyecciones para chrome (50%).
    • Módulo de fakes (70%).
    • p2p (10%).
    • Opera formgrabber (90%)
    • Chrome formgrabber (40%)
    • Grabber de Basic Auth en Firefox y IE (90%).
    Actualizaciones:
    • Actualizaciones en los módulos actuales y pequeños cambios son gratis.
    • Actualizaciones en nuevos módulos y grandes cambios, requieren un pago extra.
    Precios:
    • Precio sin el módulo del browser del bot: 5k wmz
    • Precio con el módulo del browser: 8k wmz.
    • Sistema Autocrypt: 1k wmz/mes

    Sin lugar a dudas, desde los mantendremos informados sobre la actualidad de Carberp y nuestros avances en torno a su botnet.

    Descarga whitepaper completo Inside Carberp Botnet

    Francisco Ruiz
    Crimeware Research of MalwareIntelligence

    Ver más

    16.2.11

    MalwareIntelligence whitepapers

    Administración de Botnets. Un caso real - ZeuS & SpyEye
    Las redes de malware siguen creciendo, y paralelamente a ello, el potencial riesgo de transformarse en víctimas de sus actividades delictivas. Lejos quedaron aquellos tiempos donde el vector principal para la distribución de códigos maliciosos lo constituían las páginas pornográficas y las que promocionan programas tipo warez.

    En la actualidad, el malware es distribuido a través de cualquier tipo de página como una pieza fundamental utilizada para retroalimentar un sistema delictivo mucho más amplio y ambicioso, encabezado principalmente por botnets. Incorporando, además, mecanismos auto-defensivos y de evasión cada vez más complejos. Bajo este escenario, un alto porcentaje de botmasters unen un importante número de “nodos” basados en recursos que permiten automatizar las maniobras delictivas y obtener así un mayor volumen de datos.

    Para entender esta diversificación, el presente documento describe un ejemplo real, que formó parte de una compleja investigación, sobre cómo un botmaster administra sus botnets a través de los crimeware SpyEye y ZeuS.
    Descarga

    Actividades delictivas desde BKCNET “SIA” IZZI / ATECH-SAGADE [Parte uno]
    BKCNET “SIA” IZZI, también conocido como ATECH-SAGADE o simplemente SAGADE, es un AS (Autonomous System) bajo numeración 6851, que actualmente constituye uno de los recursos más activos del crimeware mediante el cual se distribuyen cotidianamente una importante cantidad de códigos maliciosos, además de ser la base de control para el alojamiento de varios C&C que retroalimentan la economía clandestina.

    Su geolocalización es en Letonia y, como lo he mencionado en otra oportunidad, “Este ASN está catalogado como servidor de actividades delictivas como la propagación de diferentes familias de rogue, alojamiento de crimeware como YES Exploit System, durante el 2009 alojo las estrategias de la botnet Waledac (sucesora de Storm), también a ZeuS y hasta posee relación directa con los delincuentes que se encuentran detrás de las maniobras de la botnet Koobface.”

    Actualmente, la mayoría de los códigos maliciosos que se propagan a través de los recursos soportados por BSI (BKCNET “SIA” IZZI) conforman la maniobra que da soporte a la gestión de sistemas de afiliados destinados, precisamente, a incrementar las ganancias de los delincuentes por intermedio del éxito de las infecciones logradas.

    A continuación se deja en evidencia las actividades del AS6851 en el rango de direcciones IP’s aglomeradas entre 91.188.59.9 y 91.188.59.249, a la fecha 14 de Agosto de 2010 (en rojo el historial), que responden a maniobras maliciosas.

    Ataques Informáticos. Debilidades de seguridad comúnmente explotadas
    A lo largo del tiempo, el avance de los medios tecnológicos y de comunicación ha provocado el surgimiento de nuevos vectores de ataques y de nuevas modalidades delictivas que han transformado a Internet y las tecnologías informáticas en aspectos sumamente hostiles para cualquier tipo de organización, y persona que tenga equipos conectados a la World Wide Web.

    A diferencia de lo que sucedía años atrás, donde personas con amplias habilidades en el campo informático disfrutaban investigando estos aspectos con el ánimo de incorporar mayor conocimiento; en la actualidad se ha desvirtuado completamente dando origen a nuevos personajes que utilizan los medios informáticos y el conocimiento sobre su funcionamiento como recursos para delinquir y obtener beneficios económicos.

    El presente documento ofrece una rápida visión sobre estas debilidades, conjugándolas con las posibles contramedidas bajo las cuales es posible ampararse para prevenir de manera efectiva los diferentes tipos de ataques que diariamente recibe un sistema. 
    Descarga

    Phoenix Exploit’s Kit. De la mitología a un negocio delictivo
    Las alternativas delictivas crecen muy rápidamente dentro de un ecosistema donde día a día se gestan oportunidades de negocios por intermedio de procesos fraudulentos. En este sentido, la demanda de recursos delictivos para los ciberdelincuentes no se hace esperar y crece constantemente.

    Generalmente aparecen nuevos crimeware que buscan obtener un lugar y buena reputación en las calles virtuales del mundo underground, intentando reflejar un equilibrio en torno al costo/beneficio del “producto” promocionado, que les permita a los delincuentes insertarse en el mercado lo más rápida posible. Del mismo modo, crimeware ya aceptado en el circuito se actualizan buscando optimizar su “calidad de servicio”.

    En la actualidad y a pesar de su estado minimalista frente a otros de su estilo, Phoenix Exploit’s Kit es uno de los crimeware más empleados para controlar actividades maliciosas y hacer acopio de información estadística para inteligencia.

    El presente artículo expone una serie de datos respecto a las actividades delictivas y fraudulentas llevadas a cabo empleando Phoenix Exploit’s Kit como canal de gestión, cómo es habitualmente el ciclo del negocio delictivo que se esconde detrás de este crimeware y cuáles son las piezas de exploits incorporados en sus diferentes versiones.
    Descarga

    myLoader. Base C&C para la gestión de Oficla/Sasfis Botnet
    Las actividades delictivas son cada vez más abusivas. En la actualidad, ya nadie niega que los códigos maliciosos constituyen un negocio no-ético y delictivo mediante el cual delincuentes informáticos roban mucho dinero.

    Esta situación, también responde al por qué de la profesionalización y sofisticación en cuanto al desarrollo de malware, componentes asociados y estrategias de propagación e infección, transformándolas en amenazas cada vez más agresivas.

    Bajo este escenario, una nueva amenaza crimeware diseñada con fines fraudulentos se encuentra In-the-Wild. Se trata de myLoader, un Framework de propósito particular desarrollado para gestionar las actividades de una botnet.

    El presente documento describe las posibilidades delictivas de esta amenaza a través del desglose de los módulos que forman el paquete que permite la gestión de la botnet Oficla/Sasfis. Asimismo se exponen algunos datos que permiten dilucidar su comportamiento tanto en la estrategia de propagación como en los procesos de infección y ayudar en la prevención para contrarrestar sus acciones. 
    Descarga

    SpyEye Bot [Parte dos]. Conversations with the creator of crimeware [Solo en Inglés]
    In recent weeks, SpyEye (a new financial trojan) has been popular in the news and underground and well received. The cheap cost of the software relavtive to its competition combined with an easy to use interface has increased its popularity. The ability to remove the competition with the product with a built-in ZeuS Killer has also raised eyebrows.

    Our previous report, "SpyEye. Analysis of a new crimeware alternative scenario", addressed known technical issues involving the activities of this threat. In this second part we present the exclusive interview by Ben Koehl, Crimeware Research of MalwareIntelligence.
    Descarga

    SpyEye Bot [Parte uno]. Análisis de una nueva alternativa del escenario crimeware
    A principios de año se conoció en el mercado clandestino underground, que mueve los ejes del crimeware, una nueva aplicación diseñada para retroalimentar un negocio delictivo y fraudulento.

    Esta aplicación, llamada SpyEye, se encuentra orientada a facilitar el reclutamiento de zombis y la administración de su red (C&C) a través de un panel de gestión vía web, desde el cual es posible procesar la información obtenida (inteligencia) y almacenada en estadísticas, una actividad habitual de los paquetes delictivos de la actualidad.

    En función de sus características, muy similares a las propuestas por su par: ZeuS, SpyEye se presenta como un potencial sucesor de éste dentro del escenario crimeware. Además, deja en evidencia que las actividades delictivas representan actualmente un gran negocio donde los ciberdelincuentes y aspirantes a ciberdelincuentes abusan de sus “bondades”.

    En el presente documento se describen las actividades de SpyEye desde la etapa de infección, exponiendo información relevante en torno a sus propósitos. 
    Descarga

    Compendio anual de información. El crimeware en 2009 [Solo en Español]
    "El crimeware durante el 2009" plasma en un solo documento todo lo que se canalizó a través de este blog durante el año en cuestión en materia de crimeware y amenazas asociadas.

    Cuenta con un total de 262 páginas y se encuentra dividido por las temáticas más relevantes que describen las actividades delictivas que fueron motivo de noticias en este blog. Posee dos índices que permiten encontrar las noticias de forma sencilla (índice de contenido), y otro sobre las imágenes (índice de imágenes).

    A continuación dejo alguna de las temáticas que encontraran en el documento en cuestión:
    • Panorama actual de negocio ocasionado por crimeware
    • Framework Exploit Pack para botnets de propósito general
    • Framework Exploit Pack para botnets de propósito particular
    • Servicios asociados al crimeware
    • Inteligencia en la lucha contra el crimeware
    • Campañas de propagación e infección
    • Otros Exploits Pack que se investigaron
    Descarga

    Análisis de un ataque de malware basado en web
    Internet se ha transformado en una aliada plataforma de ataque para los creadores de malware, quienes a través del empleo de diferentes técnicas tales como Drive-by-Download, Drive-by- Update, scripting, exploit, entre otros, y la combinación de ellos, buscan reclutar todo un ejercito de computadoras que respondan sólo a sus instrucciones maliciosas.

    Estos ataques, empleando Internet como base para ejecutar cargas dañina de manera directa sobre el sistema víctima, de forma paralela, casi instantánea y transparente a la vista de los usuarios menos experimentado, se ha convertido en un latente y peligroso riesgo de infección por el simple acto de acceder a un sitio web.  

    En el siguiente documento se expone un ejemplo concreto que recurre a las acciones antes mencionadas para explotar e infectar un sistema víctima, describiendo también varias características extras que potencian el daño del malware.

    Alejandro Cantis
    Crimeware Research

    Ver más