MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

1.10.10

Phoenix Exploit’s Kit v2.3 Inside

PEK (Phoenix Exploit’s Kit) se ha transformado en uno de los recursos más empleados por quienes día a día inundan Internet con diferentes tipos de códigos maliciosos. Actualmente, un importante volumen de malware es distribuido a través de este crimeware, que también es ampliamente utilizado para el acopio de información relevante para un botmaster.

Anteriormente habíamos mencionado cómo se ve por dentro la versión 2.1 y en ese mismo momento decíamos que desde el punto de vista de su diseño, las diferentes versiones de PEK se ven prácticamente de forma muy similar, con el típico fondo oscuro, el ave Fénix en el ángulo inferior derecho y de frente su sistema de autenticación trivial a simple vista, pero que sin embargo realiza una verificación bajo el algoritmo SHA1.

En esta oportunidad, se trata de la versión 2.3 de PEK, la final y estable hasta el momento (existe una versión preliminar a la 2.4 conocida como 2.3r). Sin embargo, a pesar de no aparentar diferencias visibles, esta versión, además de actualizar una serie de “detalles” en su código, incorpora varios de los exploits que actualmente representan la mayor tasa de éxito.

 
Simple statistics
Muestra información sobre los datos generales en tonos a la información grabada con PEK.

Advanced statistics
Muestra información detallada de los sistemas operativos y navegadores vulnerados.

Countries statistics
Muestra datos estadísticos de los países donde se encuentran los zombis.

Referer data
Lista las páginas web de referencia directa.

La lista que presenta la versión empleada para este artículo es muy larga, pero se encuentra completa en el siguiente enlace: PEK v2.3 Referers List.

 
Upload module
Permite actualizar el malware que se disemina.

Los exploits que incorpora por defecto esta versión son:
Su "puesta en venta" se comenzó a principios de Julio de 2010 a un costo de $ 2.200. Un detalle interesante lo constituye la frase que se muestra con el logotipo: "CONCORDIA, INTEGRITAS, INDUSTRIA…", tres palabras en latín que se encuentran íntimamente relacionadas con una famosa familia alemana. Su traducción es concordia, integridad y diligencia.

Respecto al binario ejecutable propagado, en este caso, se trata de una variante del troyano generado con el constructor privado de SpyEye:
En el White paper llamado Phoenix Exploit’s Kit. De la mitología a un negocio delictivo pueden obtener mayor información sobre las diferentes versiones de este crimeware.

Información relacionada
Phoenix Exploit’s Kit v2.1 Inside
Estado del arte en Phoenix Exploit's Kit [White paper]

Campaña de infección a través de Phoenix Exploit’s Pack
Phoenix Exploit's Kit and Pay-per-Install via PC Defender Antivirus
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets

Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher

2 comentarios:

Anónimo dijo...

Aqui esta uno man podemos intercambiar info zaz :)

http://russian-exploits.site90.net/Phoenix/statistics.php

Password: admin

Jorge Mieres dijo...

Hola, escribeme en privado :)
Saludos!