Inside Carberp Botnet
A principios del 2010, desde MalwareIntelligence comenzamos a investigar una nueva botnet destinada al aglutinamiento de información sensible relacionada a cuentas bancarias, y robo de credenciales para explotar una inquietante lista de programas.
Carberp, a diferencia de SpyEye y ZeuS, no era (y tampoco lo es hoy) un crimeware comercializado a gran escala, sino más bien a un grupo reducido de personas. Prueba de ello eran (y son) los pocos C&C que operan esta botnet. Que además, para poder implementarla, necesitan licencias de uso para poder utilizar el constructor y el panel de administración.
NOTA: Al pie de este artículo podrán encontrar el enlace para la descarga del Whitepaper completo, llamado “Inside Carberp Botnet”, que describe las diferentes piezas internas que componen Carberp.
Carberp, a diferencia de SpyEye y ZeuS, no era (y tampoco lo es hoy) un crimeware comercializado a gran escala, sino más bien a un grupo reducido de personas. Prueba de ello eran (y son) los pocos C&C que operan esta botnet. Que además, para poder implementarla, necesitan licencias de uso para poder utilizar el constructor y el panel de administración.
Después de un tiempo con altos niveles de actividad a través de estos C&C, nos extrañamos cuando notamos que fueron desapareciendo gradualmente y más aún cuando la gran mayoría actualizaron a la nueva versión hacía menos de dos meses. Aún así quedaban algunos C&C que se resistían a desaparecer, aunque creemos que en realidad los botmaster que la operaban se negaban a dejar de lado este malware.
Durante enero de este año Seculert publicó un artículo en el cual se habla de la nueva versión de Carberp, con un panel totalmente nuevo y novedades en el bot.
En MalwareIntelligence encontramos solo un C&C con estas características, y tenemos varios indicios por los cuales creemos que no se trata de una versión "oficial" de Carberp, sino de una modificación del bot original, de la interfaz y de algunas funcionalidades del crimeware.
Estos singulares indicios, también evidenciarían una posible ruptura del grupo que se esconde detrás del desarrollo, comercialización y explotación del crimeware.
En las últimas semanas hemos comenzado a notar una actividad creciente de nuevos C&C de Carberp. Sin embargo, estos no corresponden a la versión anterior comentada en "Inside Carberp Botnet", sino que son los mismos crimeware que cesaron actividad durante diciembre del 2010. Estos datos refuerzan nuestra teoría de que en realidad el panel de administración referenciado por Seculert, no se trata realmente del nuevo Carberp.
Decidimos retomar la investigación para obtener mayor información sobre esta "resurrección" de Carberp y, en base a los conocimientos que ya teníamos de esta botnet, publicar nuestro informe interno. Pero además, exponer a través del presente los primeros resultados de la segunda parte de la investigación.
Carberp ha comenzado a ser anunciado entre la comunidad del crimeware, algo que hasta ahora no había sucedido y sin lugar a dudas, es precisamente este el motivo por el cual ha vuelto a tomar notoriedad en los medios de información.
¿Cambio el modelo de negocio? Realmente no lo podemos asegurar aún, pero puede ser que esta botnet esté empezando a ser comercializada ampliando la cobertura de la oferta, o que algún otro grupo delictivo (quizás conformado por algún integrante del grupo original desarrollador de Carberp) haya aprovechado la ocasión para sacar una nueva versión inspirada en la original e intentar comercializarla.
El siguiente texto corresponde al anuncia mediante el cual esta nueva variante de Carberp está intentando ser comercializada (texto bruto):
Carberp. Troyano bancario multipropósito
Funciona en cualquier sistema: Windows XP/Vista/7 con cuentas limitadas.
El bot contiene:
- Loader
- FTP Grabber
- Password Grabber
- Forms Grabber
- FTP Sniffer
- Backconnect (Soporta hasta 500 conexiones)
- Eliminación de cookies en IE y Firefox.
- Inyecciones en IE y Firefox.
- Posibilidad de hacer capturas de pantalla directamente desde el js.
- %user_id% insertar en el html la uid.
- El constructor
- Una muestra de las inyecciones y muchas más opciones.
- Sistema de plugins.
- Comando multidownload capaz de bajar 20 exe simultáneamente
Detecta y elimina el siguiente malware:
ZeuS, Limbo, Barracuda, Adrenalin, MyLoader, BlackEnergy, SpyEye.
NOTA: A diferencia de la anterior versión, esta incorpora un "Mata SpyEye" mediante el cual también intenta deshacerse de este crimeware.
Bloqueo de actualizaciones de los antivirus:
vg8, avg9, arca2009, arca2008, avast5, ESET NOD32 Antivirus 3.x/4.x, ESET Smart Security 3.x/4.x, Avira Premium Security Suite, Avira AntiVir Premium, Avira AntiVir Professional, BitDefender Antivirus 2010, McAfee AntiVirus Plus 10, Microsoft Security Essentials, DrWeb .
Lista de programas del grabber:
Messengers, Miranda, ICQ2003, RQ, Trillian, ICQ99b, MSN, Yahoo, AIM, Gaim, QIP, Odigo, IM2, SIM, GTalk, PSI, Faim, LiveMessenger, PalTalk, Excite, Gizmo, Pidgin, AIMPRO, MySpace, Pandion, QIPOnline, JAJC, Digsby, Astra, Post clients, Becky, The_Bat, Outlook, Eudora, Gmail, MRA, IncrediMail, GroupMailFree, VypressAuvis, PocoMail, ForteAgent, Scribe, POPPeeper, MailCommander, Windows_Mail_Live, Windows_Mail_Vista.
FTP Clients:
TotalCommander, Far Manager, WS_FTP, CuteFtp, FlashFXP, FileZilla, FTP Commander, FTP Navigator, BulletProof, SmartFTP, TurboFTP, FFFTP, CoffeCup, CoreFTP, FTP Explorer, Frigate3, UltraFXP, FTPRush, SecureFX, WebPublisher, BitKinex, ExpanDrive, Classic FTP DC, Fling, SoftX FTP Client, Directory Opus, FTP Uploader, Free FTP, DirectFTP, LeapFTP, WinSCP.
Navegadores:
Firefox, Safari, Opera, IE, Chrome.
Otros:
SysInfo, WinVNC, ScreenSaver, ASPNET, RDP, FreeCall, CamFrog, PCRemoteControl, NetCache, CiscoVPN, Credentials.
Sistema backconnect:
- Para la recepción de los bots se usa win32-appendix.
- Permite usar los bots como SOCKS5-Proxy.
- Hay opciones parar configurar los puertos, número de bots, tiempos, etc.
- Posibilidad de autentificación en los proxys.
- Es posible desconectar un bot obligatoriamente cuando se requiera.
- Las inyecciones funcionan en IE y Firefox.
- Programa para configurar las inyecciones.
- Capacidad para configurar 3 dominios.
- Requiere de una licencia.
Hay un metamorph cryptor que se va comprobando mediante los antivirus.
- Funciona con la sesión del usuario de bot, aunque este sea sin privilegios (cuenta limitada).
- Es posible recibir capturas de pantalla del usuario y de otras partes del sistema.
- Modo latente, el usuario no nota nada extraño.
- El browser es totalmente invisible para el usuario.
- El browser no se ve ni cuando se rellena un formulario.
- Es posible "secuestrar" el navegador del usuario y trabajar con el.
- Mirar los archivos del bot asi como bajarlos.
- En la licencia entra un panel + el constructor.
- Restricciones en el número de servidores según la licencia.
- Para operar más de una botnet se requiere de la segunda licencia.
- Esta prohibido reorientar la botnet hacia otro servidor que no sea el proporcionado.
- Nos fijamos atentamente en todas las licencias, cualquier infracción conllevará la pérdida de la licencia y un DDoS en los servidores y dominios infractores.
- El panel está protegido con IonCube.
- El bot está protegido con nuestro sistema de seguridad. En cada actualización cambiamos la forma del bot, haciendo difícil la tarea de que sea catalogado.
- Está prohibida la reventa.
- Bilder (60%).
- Módulo DDoS (90%).
- Inyecciones para chrome (50%).
- Módulo de fakes (70%).
- p2p (10%).
- Opera formgrabber (90%)
- Chrome formgrabber (40%)
- Grabber de Basic Auth en Firefox y IE (90%).
- Actualizaciones en los módulos actuales y pequeños cambios son gratis.
- Actualizaciones en nuevos módulos y grandes cambios, requieren un pago extra.
- Precio sin el módulo del browser del bot: 5k wmz
- Precio con el módulo del browser: 8k wmz.
- Sistema Autocrypt: 1k wmz/mes
Sin lugar a dudas, desde los mantendremos informados sobre la actualidad de Carberp y nuestros avances en torno a su botnet.
Descarga whitepaper completo Inside Carberp Botnet
Francisco Ruiz
Crimeware Research of MalwareIntelligence
0 comentarios:
Publicar un comentario