miércoles, 17 de octubre de 2012

Troyano SPYEYE contra Latinoamerica


En la misma infraestructura fraudulenta que estaba alojado el dominio “cybercartel.com.mx” analizado en el articulo anterior también aparece instalado el panel de control del troyano SPYEYE estando totalmente operativo y recolectando datos de los usuarios infectados.

Esta instalado el kit completo del troyano Spyeye , tanto el modulo dedicado al control de bots y propagación de Malware , como el modulo de gestión y control de los datos capturados en los equipos comprometidos.

Se observa como el Panel de Control de los bots o máquinas zombies continua estando activo y enviando ordenes a los equipos infectados:



















Hasta el momento del análisis el Panel controlaba 1185 equipos infectados. Estos equipos pertenecen únicamente a usuarios que habitan en Argentina , Bolivia , Chile y Mexico, debido a que, como se vio en el articulo anterior, el servidor donde esta montada toda la infraestructura criminal esta configurada para rechazar las conexiones de usuarios que no pertenecen a los países antes citados mediante el control de accesos que realiza en el archivo .htaccess.
  











En las opciones del Panel de Control se puede configurar diferentes plugins con sus funciones especificas para el control de los equipos zombies y la captura de datos confidenciales en las victimas.

 


El otro modulo que viene acompañado casi siempre en el Panel del Spyeye esta dedicado a la gestión de los datos capturados por el troyano en las máquinas infectadas.

El Panel de control de este modulo presenta el siguiente aspecto:



















Este Modulo dispone de una gran variedad de opciones para capturar todo tipo de datos e información en los equipos infectados , como puede ser las credenciales de acceso a servidores FTP , certificados del cliente , pantallazos del equipo de la victima, datos de las tarjetas de crédito. Así como la gestión y búsqueda de información confidencial en los repositorios de logs de las victimas:

 

Uno de los plugins que tiene activos es el CC Grabber cuya misión consiste en buscar entre todos los Logs recolectados por el troyano los códigos de numeración de las tarjetas de créditos, así como los datos confidenciales necesarios para operar con ellas como el CVV y fecha de caducidad de la tarjeta.

Cada vez que un usuario infectado por el troyano Spyeye realiza una compra en algún comercio electrónico de Internet , todos los datos confidenciales de su tarjeta de crédito que introduzca en dicho comercio van a ser capturados por el troyano y enviados al servidor fraudulento donde esta instalado el Panel de Control. Debido a que el troyano tiene capacidad para capturar todos los datos que se envíen mediante el método POST del protocolo http antes de que sean cifrados por el navegador del usuario.

El plugín funciona como una pequeña aplicación de minería de datos capaz de reconocer la numeración de 16 dígitos de la tarjeta de crédito y sus datos asociados y almacenarlos para que posteriormente sean usados por los criminales para la realización de fraudes con dicha tarjeta del cliente.

Aquí se observa como se han capturado los datos de una tarjeta de crédito en una transacción comercial por Internet:
  

En la infraestructura del mismo servidor fraudulento se ha localizado también el kit de propagación de Malware “UMBRA LOADER


Este kit de infección todavía no ha comenzado la campaña de propagación de Malware, estando prácticamente inactivo.



No hay comentarios:

Publicar un comentario en la entrada

Nota: solo los miembros de este blog pueden publicar comentarios.