MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

27.10.10

Crimeware exposed

Actualmente, el crimeware es ampliamente explotado por individuos o grupos delictivos que buscan incrementar su economía de forma completamente fraudulenta empleando estrategias evasivas y agresivas.

Para MalwareIntelligence, la lucha contra el ciber-crimen se ha transformado en su filosofía y objetivo primario, que hacen del día a día una excusa perfecta para abordar diferentes investigaciones que luego se canalizan a través de alguno de sus blogs.

Es por ello que a lo largo del tiempo, se ha expuesto información relevante que forma parte de algunas investigaciones abordadas, que en su conjunto (las del año 2009) pueden encontrar en “Compendio Anual de Información: El crimeware durante el 2009”, y a continuación, el resumen de los paquetes expuestos a través de MalwareIntelligence durante los últimos dos años:

Malware kit y Exploits Pack

6.10.10 Eleonore Exploit Pack. Nueva versión (1.4.4mod)
1.10.10 Phoenix Exploit’s Kit v2.3 Inside
30.9.10 Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva
8.9.10 Phoenix Exploit’s Kit v2.1 Inside
18.8.10 Estado del arte en Phoenix Exploit's Kit
3.7.10 BOMBA Botnet. Nueva alternativa delictiva alimentando la economía del crimeware
30.6.10 n0ise Bot. Crimeware de propósito particular para ataques DDoS
26.6.10 Breve revisión de Passenger Admin Panel
24.6.10 Estado del arte en Eleonore Exploit Pack II
19.5.10 Estado del arte en CRiMEPACK Exploit Pack
31.3.10 Strike Botnet, otra crimeware que nace
28.3.10 iPack y GOLOD. Nuevos crimeware en la escena delictiva
6.3.10 myLoader. Framework para la gestión de botnets
27.1.10 SpyEye. Nuevo bot en el mercado
9.1.10 Napoleon Sploit. Frameware Exploit Pack
3.1.10 Estado del arte en Eleonore Exploit Pack
25.12.09 Siberia Exploit Pack. Otro paquete de explois In-the-Wild
15.12.09 RussKill. Aplicación para realizar ataques de DoS
9.12.09 Fusión. Un concepto adoptado por el crimeware actual II
3.12.09 Una breve mirada al interior de Fragus
29.11.09 JustExploit. Nuevo Exploit Kit que explota Java
22.11.09 DDoS Botnet. Nuevo crimeware de propósito particular
15.11.09 T-IFRAMER. Kit para la inyección de malware In-the-Wild
4.11.09 QuadNT System. Sistema de administración de zombis I (Windows)
2.11.09 ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
14.10.09 DDBot. Más gestión de botnets vía web
26.9.09 Nueva versión de Eleonore Exploits Pack In-the-Wild
17.9.09 Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
7.9.09 iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
29.8.09 Hybrid Botnet Control System. Desarrollo de http bot en perl
15.8.09 Fragus. Nueva botnet framework In-the-Wild
14.8.09 Liberty Exploit System. Otra alternativa crimeware para el control de botnets
8.8.09 TRiAD Botnet III. Administración remota de zombis multiplataforma
4.8.09 Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
3.8.09 TRiAD Botnet II. Administración remota de zombis multiplataforma
25.7.09 TRiAD Botnet. Administración remota de zombis en Linux
11.7.09 Especial!! ZeuS Botnet for Dummies
29.6.09 ElFiesta. Reclutamiento zombi a través de múltiples amenazas
14.6.09 Mirando de cerca la estructura de Unique Sploits Pack
2.6.09 Fusión. Un concepto adoptado por el crimeware actual
27.5.09 Unique Sploits Pack. Manipulando la seguridad del atacante II
21.5.09 YES Exploit System. Manipulando la seguridad del atacante
22.4.09 Adrenaline botnet: zona de comando. El crimeware ruso marca la tendencia
18.4.09 Chamaleon botnet. Administración y monitoreo de descargas
12.4.09 YES Exploit System. Otro crimeware made in Rusia
26.3.09 Barracuda Bot. Botnet activamente explotada
6.3.09 Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
27.2.09 LuckySploit, la mano derecha de Zeus

Actividades botnets

8.9.10 myLoader C&C Oficla Botnet en BKCNET "SIA" IZZI con la mayor tasa de infección en Brasil
9.8.10 Campaña de infección a través de Phoenix Exploit’s Pack
25.7.10 Circuito de Koobface desde 91.188.59.10 (BKCNET "SIA" IZZI)
11.7.10 YES Exploit System como Crimeware-as-a-Service
28.5.10 Inteligencia y nivel de explotación según Siberia Exploit Pack
19.4.10 Scam de ZeuS sobre IRS continúa siendo activamente explotado
15.3.10 Nueva campaña de phishing contra Facebook encabezada por ZeuS
7.3.10 Oficla botnet con más de 200.000 zombis reclutados
24.2.10 Nueva campaña de phishing de ZeuS contra Google y Blogger
22.2.10 Campaña de phishing a Facebook y VISA propuesta por ZeuS
28.1.10 ZeuS y el robo de información sensible
22.1.10 Aprovechando ZeuS para enviar spam a través de redes sociales
16.1.10 YES Exploit System. Official Business Partner’s
2.1.10 Waledac. Línea de tiempo '07-'09
1.1.10 Waledac vuelve con otra estrategia de ataque
1.12.09 Campaña de propagación de Koobface a través de Blogspot
6.11.09 Desarrollo de Botnets Open Source. “My last words”?
24.10.09 ZeuS Botnet y su poder de reclutamiento zombi
17.10.09 ZeuS, spam y certificados SSL
21.9.09 Eficacia de los antivirus frente a ZeuS
17.8.09 Desarrollo de crimeware Open Source para controlar y administrar botnets
8.7.09 Waledac/Storm. Pasado y presente de una amenaza latente
4.7.09 Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
21.6.09 Simbiosis del malware actual. Koobface
1.6.09 Botnet. Securización en la nueva versión de ZeuS
4.5.09 ZeuS Carding World Template. Jugando a cambiar la cara de la botnet
7.4.09 Waledac. Seguimiento detallado de una amenaza latente
4.4.09 Conficker IV. Dominios relacionados... y controversiales
3.4.09 Conficker III. Campaña de propagación de falsas herramientas de limpieza
2.4.09 Conficker II. Infección distribuida del gusano mediático
1.4.09 Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo
27.3.09 Entidades financieras en la mira de la botnet Zeus. Segunda parte
25.3.09 Entidades financieras en la mira de la botnet Zeus. Primera parte
22.2.09 Zeus Botnet. Masiva propagación de su troyano. Segunda parte
18.2.09 Zeus Botnet. Masiva propagación de su troyano. Primera parte
28.1.09 Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

Ver más

1 comentarios

6.10.10

Eleonore Exploit Pack. Nueva version

Sin renovar alternatives funcionales dentro del paquete, aparece una nueva versión del crimeware Eleonore Exploit Pack. Se trata de la versión 1.4.4mod.


Panel de acceso a Eleonore Exploit Pack 1.4.4mod

Si bien esta versión del crimeware se posiciona como parte de una batería de alternativas cuyo número se incrementa constantemente gracias a la importante oferta que actualmente existe en el ámbito delictivo, no representa la opción extremadamente viable para los delincuentes. Y de hecho, esta versión en particular, parearía no tener mayores características relevantes que no se encuentren en sus anteriores versiones.

Publicidad del paquete en foro underground

Como se aprecia en la imagen, incorpora un total de 16 exploits que poseen un alto porcentaje de éxito en la explotación a nivel global. Sin embargo, a pesar de que esta versión particularmente no es motivo de alarma ni de investigación para los profesionales de seguridad, las actividades delictivas generadas a través de Eleonore Exploits Pack se manifiestan diariamente, siendo la versión 1.3 la más empleada.

Información relacionada
Estado del arte en Eleonore Exploit Pack II
Estado del arte en Eleonore Exploit Pack
Nueva versión de Eleonore Exploits Pack In-the-Wild
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva
Defacement by "Exploit Pack's"

Ver más

1 comentarios

1.10.10

Phoenix Exploit’s Kit v2.3 Inside

PEK (Phoenix Exploit’s Kit) se ha transformado en uno de los recursos más empleados por quienes día a día inundan Internet con diferentes tipos de códigos maliciosos. Actualmente, un importante volumen de malware es distribuido a través de este crimeware, que también es ampliamente utilizado para el acopio de información relevante para un botmaster.

Anteriormente habíamos mencionado cómo se ve por dentro la versión 2.1 y en ese mismo momento decíamos que desde el punto de vista de su diseño, las diferentes versiones de PEK se ven prácticamente de forma muy similar, con el típico fondo oscuro, el ave Fénix en el ángulo inferior derecho y de frente su sistema de autenticación trivial a simple vista, pero que sin embargo realiza una verificación bajo el algoritmo SHA1.

En esta oportunidad, se trata de la versión 2.3 de PEK, la final y estable hasta el momento (existe una versión preliminar a la 2.4 conocida como 2.3r). Sin embargo, a pesar de no aparentar diferencias visibles, esta versión, además de actualizar una serie de “detalles” en su código, incorpora varios de los exploits que actualmente representan la mayor tasa de éxito.

 
Simple statistics
Muestra información sobre los datos generales en tonos a la información grabada con PEK.

Advanced statistics
Muestra información detallada de los sistemas operativos y navegadores vulnerados.

Countries statistics
Muestra datos estadísticos de los países donde se encuentran los zombis.

Referer data
Lista las páginas web de referencia directa.

La lista que presenta la versión empleada para este artículo es muy larga, pero se encuentra completa en el siguiente enlace: PEK v2.3 Referers List.

 
Upload module
Permite actualizar el malware que se disemina.

Los exploits que incorpora por defecto esta versión son:
Su "puesta en venta" se comenzó a principios de Julio de 2010 a un costo de $ 2.200. Un detalle interesante lo constituye la frase que se muestra con el logotipo: "CONCORDIA, INTEGRITAS, INDUSTRIA…", tres palabras en latín que se encuentran íntimamente relacionadas con una famosa familia alemana. Su traducción es concordia, integridad y diligencia.

Respecto al binario ejecutable propagado, en este caso, se trata de una variante del troyano generado con el constructor privado de SpyEye:
En el White paper llamado Phoenix Exploit’s Kit. De la mitología a un negocio delictivo pueden obtener mayor información sobre las diferentes versiones de este crimeware.

Información relacionada
Phoenix Exploit’s Kit v2.1 Inside
Estado del arte en Phoenix Exploit's Kit [White paper]

Campaña de infección a través de Phoenix Exploit’s Pack
Phoenix Exploit's Kit and Pay-per-Install via PC Defender Antivirus
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets

Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

Ver más

2 comentarios

30.9.10

Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva

La industria del crimeware sigue creciendo a través de la puesta en desarrollo y comercialización de nuevos paquetes de exploits pre-compilados que se suman a la oferta de alternativas destinadas a facilitar las maniobras delictivas a través de Internet.

En este caso, se trata de Black Hole Exploits Kit, una aplicación web desarrollada en Rusia pero que además incorpora para su interfaz el idioma inglés, y cuya primera versión (beta por el momento) está intentando insertarse en el mercado clandestino desde principios de septiembre de 2010. Su costo esta determinado en función de una serie de características que intentan diferenciarlo del resto.

Módulo estadístico de Black Holes Exploits Kit
Este módulo ofrece una visualización rápida de la información más relevante para un botmaster: cantidad de equipos que forman parte de la red y sus respectivos países, exploits con mayor tasa de éxito y demás información procesada.

A diferencia de muchos otros crimeware de este estilo, Black Hole Exploits Kit utiliza un sistema de licenciamiento por tiempo que determina su costo. Por ejemplo, adquirir este crimeware durante 1 año (por el momento el tiempo máximo) tiene un costo de $ 1500 dólares, mientras que una licencia semestral y trimestral, cuestan $ 1000 y $ 700 respectivamente.

Estadísticas sobre los sistemas operativos afectados
La tendencia marca un leve pero paulatino incremento de sistemas operativos comprometidos que no pertenecen a la familia de Microsoft. En este crimeware se incluye plataformas basadas en *NIX como GNU/Linux y Mac OS. Otros, como Eleonore Exploits Pack y Siberia Exploit Kit incluyen plataformas para dispositivos celulares de alta gama y consolas de videojuegos.

Además, posee costos de $ 50 por la alternativa de utilizar su sistema de cifrado. Esta característica constituye un patrón para los servicios "extras" ofrecidos por los desarrolladores de crimeware, al igual que la posibilidad de verificar la integridad del malware (AVChecker) diseminado a través del crimeware.

Para llevar a cabo esta verificación, se está utilizando con mayor frecuencia VirTest, el servicio privado de origen ruso que se ha transformado en el favorito de los delincuentes para controlar la reputación no sólo del malware diseminado sino que también del mismo exploits pack. Son varios los paquetes crimeware que recientemente han incorporado el módulo VirTest, entre ellos, la última versión de SpyEye.

En cuanto a los exploits, todos los que incorpora por el momento son públicos y ampliamente utilizados por la mayoría del crimeware actual. A pesar de ello, estos exploits poseen la mayor tasa de éxito en explotación.

Estadísticas de exploits
A través de este módulo se visualizan los datos estadísticos sobre la capacidad de éxito que posee cada uno de los exploits que forman parte del crimeware.

Black Hole Exploits Kit incorpora un TDS (Traffic Direction Script) que le permite independizarse de otra aplicación web que permita manipular arbitrariamente el tráfico web, y seguramente esta característica atrapará la atención de los delincuentes.

También posee un módulo auto-defensivo mediante el cual permite bloquear el acceso a determinados sitios web de seguridad mediante URL o rangos de dirección IP. En la siguiente imagen se encuentra configurado el bloqueo del acceso a los sitios web de Kaspersky Antivirus:

Módulo auto-defensivo
A través de este módulo también se puede importar o exportar una lista con direcciones a bloquear.

Black Hole Exploits Kit se suma a la cartera de ofertas y a poco más de un mes desde su lanzamiento en los ambientes underground no presenta mayor actividad In-the-Wild, quizás debido a su costo inicial. Sin embargo,  los profesionales de seguridad debemos prestar especial atención a este crimeware ya que por sus características y costo (que seguramente disminuirá levemente para la próxima versión) será muy bien aceptado dentro de la comunidad delictiva y, por ende, objeto de demanda por parte de los delincuentes.

Información relacionada
 
Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

Ver más

2 comentarios

10.9.10

Black Software. Nuevo afiliado de negocios del tipo Pay-per-Install

El modelo de negocio que representan los programas de afiliados a través de sistemas del tipo Pay-per-Install se encuentra en pleno auge, constituyendo una pieza fundamental para los grupos delictivos que buscan aumentar su economía.

En este caso, hemos dado con un nuevo programa de afiliados  llamado Black Software, que promociona la descarga de programas maliciosos.

 Panel de acceso a Black Software
Se trata de un proceso de autenticación simple y convencional que requiere usuario y contraseña

El programa es de origen ruso y según su dirección IP tiene base en los Países Bajos. Comenzó con su propuesta de empresa a finales de Agosto de 2010 y posee un mecanismo mediante el cual cada afiliado debe configurar cierta información para obtener las URL necesarias para comenzar el negocio.

 Guía de Black Software
Esta guía proporciona información sobre cómo configurar de forma correcta los datos necesarios para obtener las URL, junto a un breve FAQ.

Como es habitual, el proceso de registro requiere una serie de información que  permiten a quien se encuentra detrás del sistema de afiliados, validar al potencial cliente y evitar una potencial infiltración. 
También cuenta con un módulo estadístico mediante el cual los afiliados chequean su status que cada 15 minutos es actualizado por el administrador del sistema, pudiendo visualizar información relacionada a cada descarga.

Módulo estadístico
Mediante el cual el sistema de afiliados provee la información necesaria para que cada “cliente” pueda chequear el estado de su cuenta.

El pago se realiza semanalmente y para aquellas cuentas que poseen un importante caudal de ingresos, es opcional poder establecer en qué momento desea que se realice el pago por las actividades delictivas que a través de esta aplicación web realiza.

Black Software es convencional y no posee un factor diferenciador respecto a otros programas de afiliados de su estilo, y aún no posee un alto porcentaje de actividades, quizás por su condición de "nuevo" en el ambiente delictivo y, por lo tanto, no tan conocido.

Sin embargo, representa otro recurso a disposición de quienes día a día alimentan su economía  a través de procesos fraudulentos y delictivos.

Información relacionada
Circuito de afiliación para la diseminación de NoAdware
Pirated Edition. Programa de afiliados Pay-per-Install
Pay-per-Install a través de VIVA INSTALLS / HAPPY INSTALLS en BKCNET “SIA” IZZI

Ver más

0 comentarios

Suscribirse a: Entradas (Atom)