MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

27.10.10

Crimeware exposed

Actualmente, el crimeware es ampliamente explotado por individuos o grupos delictivos que buscan incrementar su economía de forma completamente fraudulenta empleando estrategias evasivas y agresivas.

Para MalwareIntelligence, la lucha contra el ciber-crimen se ha transformado en su filosofía y objetivo primario, que hacen del día a día una excusa perfecta para abordar diferentes investigaciones que luego se canalizan a través de alguno de sus blogs.

Es por ello que a lo largo del tiempo, se ha expuesto información relevante que forma parte de algunas investigaciones abordadas, que en su conjunto (las del año 2009) pueden encontrar en “Compendio Anual de Información: El crimeware durante el 2009”, y a continuación, el resumen de los paquetes expuestos a través de MalwareIntelligence durante los últimos dos años:

Malware kit y Exploits Pack

6.10.10 Eleonore Exploit Pack. Nueva versión (1.4.4mod)
1.10.10 Phoenix Exploit’s Kit v2.3 Inside
30.9.10 Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva
8.9.10 Phoenix Exploit’s Kit v2.1 Inside
18.8.10 Estado del arte en Phoenix Exploit's Kit
3.7.10 BOMBA Botnet. Nueva alternativa delictiva alimentando la economía del crimeware
30.6.10 n0ise Bot. Crimeware de propósito particular para ataques DDoS
26.6.10 Breve revisión de Passenger Admin Panel
24.6.10 Estado del arte en Eleonore Exploit Pack II
19.5.10 Estado del arte en CRiMEPACK Exploit Pack
31.3.10 Strike Botnet, otra crimeware que nace
28.3.10 iPack y GOLOD. Nuevos crimeware en la escena delictiva
6.3.10 myLoader. Framework para la gestión de botnets
27.1.10 SpyEye. Nuevo bot en el mercado
9.1.10 Napoleon Sploit. Frameware Exploit Pack
3.1.10 Estado del arte en Eleonore Exploit Pack
25.12.09 Siberia Exploit Pack. Otro paquete de explois In-the-Wild
15.12.09 RussKill. Aplicación para realizar ataques de DoS
9.12.09 Fusión. Un concepto adoptado por el crimeware actual II
3.12.09 Una breve mirada al interior de Fragus
29.11.09 JustExploit. Nuevo Exploit Kit que explota Java
22.11.09 DDoS Botnet. Nuevo crimeware de propósito particular
15.11.09 T-IFRAMER. Kit para la inyección de malware In-the-Wild
4.11.09 QuadNT System. Sistema de administración de zombis I (Windows)
2.11.09 ZoPAck. Nueva alternativa para la explotación de vulnerabilidades
14.10.09 DDBot. Más gestión de botnets vía web
26.9.09 Nueva versión de Eleonore Exploits Pack In-the-Wild
17.9.09 Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
7.9.09 iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
29.8.09 Hybrid Botnet Control System. Desarrollo de http bot en perl
15.8.09 Fragus. Nueva botnet framework In-the-Wild
14.8.09 Liberty Exploit System. Otra alternativa crimeware para el control de botnets
8.8.09 TRiAD Botnet III. Administración remota de zombis multiplataforma
4.8.09 Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
3.8.09 TRiAD Botnet II. Administración remota de zombis multiplataforma
25.7.09 TRiAD Botnet. Administración remota de zombis en Linux
11.7.09 Especial!! ZeuS Botnet for Dummies
29.6.09 ElFiesta. Reclutamiento zombi a través de múltiples amenazas
14.6.09 Mirando de cerca la estructura de Unique Sploits Pack
2.6.09 Fusión. Un concepto adoptado por el crimeware actual
27.5.09 Unique Sploits Pack. Manipulando la seguridad del atacante II
21.5.09 YES Exploit System. Manipulando la seguridad del atacante
22.4.09 Adrenaline botnet: zona de comando. El crimeware ruso marca la tendencia
18.4.09 Chamaleon botnet. Administración y monitoreo de descargas
12.4.09 YES Exploit System. Otro crimeware made in Rusia
26.3.09 Barracuda Bot. Botnet activamente explotada
6.3.09 Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
27.2.09 LuckySploit, la mano derecha de Zeus

Actividades botnets


8.9.10 myLoader C&C Oficla Botnet en BKCNET "SIA" IZZI con la mayor tasa de infección en Brasil
9.8.10 Campaña de infección a través de Phoenix Exploit’s Pack
25.7.10 Circuito de Koobface desde 91.188.59.10 (BKCNET "SIA" IZZI)
11.7.10 YES Exploit System como Crimeware-as-a-Service
28.5.10 Inteligencia y nivel de explotación según Siberia Exploit Pack
19.4.10 Scam de ZeuS sobre IRS continúa siendo activamente explotado
15.3.10 Nueva campaña de phishing contra Facebook encabezada por ZeuS
7.3.10 Oficla botnet con más de 200.000 zombis reclutados
24.2.10 Nueva campaña de phishing de ZeuS contra Google y Blogger
22.2.10 Campaña de phishing a Facebook y VISA propuesta por ZeuS
28.1.10 ZeuS y el robo de información sensible
22.1.10 Aprovechando ZeuS para enviar spam a través de redes sociales
16.1.10 YES Exploit System. Official Business Partner’s
2.1.10 Waledac. Línea de tiempo '07-'09
1.1.10 Waledac vuelve con otra estrategia de ataque
1.12.09 Campaña de propagación de Koobface a través de Blogspot
6.11.09 Desarrollo de Botnets Open Source. “My last words”?
24.10.09 ZeuS Botnet y su poder de reclutamiento zombi
17.10.09 ZeuS, spam y certificados SSL
21.9.09 Eficacia de los antivirus frente a ZeuS
17.8.09 Desarrollo de crimeware Open Source para controlar y administrar botnets
8.7.09 Waledac/Storm. Pasado y presente de una amenaza latente
4.7.09 Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
21.6.09 Simbiosis del malware actual. Koobface
1.6.09 Botnet. Securización en la nueva versión de ZeuS
4.5.09 ZeuS Carding World Template. Jugando a cambiar la cara de la botnet
7.4.09 Waledac. Seguimiento detallado de una amenaza latente
4.4.09 Conficker IV. Dominios relacionados... y controversiales
3.4.09 Conficker III. Campaña de propagación de falsas herramientas de limpieza
2.4.09 Conficker II. Infección distribuida del gusano mediático
1.4.09 Conficker. Cuando lo mediático se hace eco de todos descuidando el problema de fondo
27.3.09 Entidades financieras en la mira de la botnet Zeus. Segunda parte
25.3.09 Entidades financieras en la mira de la botnet Zeus. Primera parte
22.2.09 Zeus Botnet. Masiva propagación de su troyano. Segunda parte
18.2.09 Zeus Botnet. Masiva propagación de su troyano. Primera parte
28.1.09 Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

Ver más

6.10.10

Eleonore Exploit Pack. Nueva version

Sin renovar alternatives funcionales dentro del paquete, aparece una nueva versión del crimeware Eleonore Exploit Pack. Se trata de la versión 1.4.4mod.


Panel de acceso a Eleonore Exploit Pack 1.4.4mod

Si bien esta versión del crimeware se posiciona como parte de una batería de alternativas cuyo número se incrementa constantemente gracias a la importante oferta que actualmente existe en el ámbito delictivo, no representa la opción extremadamente viable para los delincuentes. Y de hecho, esta versión en particular, parearía no tener mayores características relevantes que no se encuentren en sus anteriores versiones.

Publicidad del paquete en foro underground

Como se aprecia en la imagen, incorpora un total de 16 exploits que poseen un alto porcentaje de éxito en la explotación a nivel global. Sin embargo, a pesar de que esta versión particularmente no es motivo de alarma ni de investigación para los profesionales de seguridad, las actividades delictivas generadas a través de Eleonore Exploits Pack se manifiestan diariamente, siendo la versión 1.3 la más empleada.

Información relacionada
Estado del arte en Eleonore Exploit Pack II
Estado del arte en Eleonore Exploit Pack
Nueva versión de Eleonore Exploits Pack In-the-Wild
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva
Defacement by "Exploit Pack's"

Ver más

1.10.10

Phoenix Exploit’s Kit v2.3 Inside

PEK (Phoenix Exploit’s Kit) se ha transformado en uno de los recursos más empleados por quienes día a día inundan Internet con diferentes tipos de códigos maliciosos. Actualmente, un importante volumen de malware es distribuido a través de este crimeware, que también es ampliamente utilizado para el acopio de información relevante para un botmaster.

Anteriormente habíamos mencionado cómo se ve por dentro la versión 2.1 y en ese mismo momento decíamos que desde el punto de vista de su diseño, las diferentes versiones de PEK se ven prácticamente de forma muy similar, con el típico fondo oscuro, el ave Fénix en el ángulo inferior derecho y de frente su sistema de autenticación trivial a simple vista, pero que sin embargo realiza una verificación bajo el algoritmo SHA1.

En esta oportunidad, se trata de la versión 2.3 de PEK, la final y estable hasta el momento (existe una versión preliminar a la 2.4 conocida como 2.3r). Sin embargo, a pesar de no aparentar diferencias visibles, esta versión, además de actualizar una serie de “detalles” en su código, incorpora varios de los exploits que actualmente representan la mayor tasa de éxito.

 
Simple statistics
Muestra información sobre los datos generales en tonos a la información grabada con PEK.

Advanced statistics
Muestra información detallada de los sistemas operativos y navegadores vulnerados.

Countries statistics
Muestra datos estadísticos de los países donde se encuentran los zombis.

Referer data
Lista las páginas web de referencia directa.

La lista que presenta la versión empleada para este artículo es muy larga, pero se encuentra completa en el siguiente enlace: PEK v2.3 Referers List.

 
Upload module
Permite actualizar el malware que se disemina.

Los exploits que incorpora por defecto esta versión son:
Su "puesta en venta" se comenzó a principios de Julio de 2010 a un costo de $ 2.200. Un detalle interesante lo constituye la frase que se muestra con el logotipo: "CONCORDIA, INTEGRITAS, INDUSTRIA…", tres palabras en latín que se encuentran íntimamente relacionadas con una famosa familia alemana. Su traducción es concordia, integridad y diligencia.

Respecto al binario ejecutable propagado, en este caso, se trata de una variante del troyano generado con el constructor privado de SpyEye:
En el White paper llamado Phoenix Exploit’s Kit. De la mitología a un negocio delictivo pueden obtener mayor información sobre las diferentes versiones de este crimeware.

Información relacionada
Phoenix Exploit’s Kit v2.1 Inside
Estado del arte en Phoenix Exploit's Kit [White paper]

Campaña de infección a través de Phoenix Exploit’s Pack
Phoenix Exploit's Kit and Pay-per-Install via PC Defender Antivirus
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets

Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

Ver más