domingo, 13 de enero de 2013

PONY 1.9 BOTNET

Desde hace unos pocos meses se ha detectado en el escenario del cibercrimen una nueva clase de Bonet Malware denominada PONY y que se identifica su panel por el logo de este animal que aparece en el famoso juego para Facebook “Farmville”

La pantalla de login al panel de este nuevo botnet Pony es la siguiente:


Una vez que se ha accedido a este Panel de Control aparece el menú con todas las opciones disponibles observándose que ha sido diseñado para capturar todo tipo de credenciales de acceso de las aplicaciones de los usuarios infectados así como de los sitios de Internet a los que accede. 

Se trata de un potente Malware del tipo Spy – Keylogger con funcionalidades muy peligrosas.


El troyano Pony está configurado para capturar toda clase de información confidencial y datos de acceso para las siguientes aplicaciones:
Contraseñas de acceso para servidores FTP y SSH. El troyano es capaz de reconocer casi todas las aplicaciones FTP, SSH existentes en el mercado y extraer sus credenciales:

System Info , FAR Manager , Total Commander , WS_FTP , CuteFTP , FlashFXP , FileZilla , FTP commander , BulletProof FTP , SmartFTP , TurboFTP , FFFTP , CoffeeCup FTP / Sitemapper , CoreFTP , FTP Explorer , Frigate3 FTP , SecureFX , UltraFXP , FTPRush , WebSitePublisher , BitKinex , ExpanDrive , ClassicFTP , Fling , SoftX , Directory Opus , FreeFTP / DirectFTP , LeapFTP , WinSCP , 32bit FTP , NetDrive , WebDrive , FTP Control , Opera , WiseFTP , FTP Voyager , Firefox , FireFTP , SeaMonkey , Flock , Mozilla , LeechFTP , Odin Secure FTP Expert , WinFTP , FTP Surfer , FTPGetter , ALFTP , Internet Explorer , Dreamweaver , DeluxeFTP , Google Chrome , Chromium / SRWare Iron , ChromePlus , Bromium (Yandex Chrome) , Nichrome , Comodo Dragon , RockMelt , K-Meleon , Epic , Staff-FTP , AceFTP , Global Downloader , FreshFTP , BlazeFTP , NETFile , GoFTP , 3D-FTP , Easy FTP , Xftp , FTP Now , Robo-FTP , LinasFTP , Cyberduck , Putty , Notepad++ , CoffeeCup Visual Site Designer , FTPShell , FTPInfo , NexusFile , FastStone Browser , CoolNovo , WinZip , Yandex.Internet , MyFTP , sherrod FTP , NovaFTP , Windows Mail , Windows Live Mail , Becky! , Pocomail , IncrediMail , The Bat! , Outlook , Thunderbird , FastTrack .

La pantalla del menú de gestión del capturador FTP:





También captura cualquier tipo de direcciones de e-mails , así como sus contraseñas de acceso , certificados que tenga almacenados el usuario , además de contraseñas de acceso RDP


El panel permite la captura de todo tipo de contraseñas de acceso a aplicaciones web bajo HTTP y HTTPS. Dispone de un filtro muy potente para configurar las capturas , seleccionando o excluyendo los dominios de Internet a los que el usuario infectado acceda para empezar a capturar datos cuando se encuentre en dichas páginas , así como cadenas de texto de captura , países de los dominios víctimas , fechas , etc.


El panel de seguimiento de los datos confidenciales capturados de la navegación Web de los usuarios infectados.


Los usuarios comprometidos por el troyano Pony están ordenados por su IP , pudiéndose seleccionar la información recopilada para cada usuario seleccionando el perfil de la IP deseada:



Es muy interesante observar en el panel estadístico la cantidad de información que puede capturar de los usuarios infectados por el troyano:




Todos los datos capturados son cifrados y almacenados en una base de datos en MySQL para evitar que sean robados si alguien logra acceder acceder a dicha información:


Finalmente se presenta parte de la estructura de ficheros del KIT PONY:



Se han localizado otras direcciones maliciosas conteniendo paneles Pony activos en:
hXXp://217.195.200.12:8080/ponyb/admin.php
hXXp://195.5.208.204:8080/ponyb/admin.php
hXXp://9jal33ts.com/ponysample/admin.php
hxxp://198.27.83.179/popo/

No hay comentarios:

Publicar un comentario en la entrada

Nota: solo los miembros de este blog pueden publicar comentarios.