Anonymous Exploit Kit

It have been found a new malware injection kit named "Anonymous exploits kit"

It is located in the domain zaebal11.uni.me hosted on an IP of Panama.
 
The infection vector that drops the trojan is:
 
hXXp://zaebal11.uni.me/loads/

It downloads the malicious binary:
 
hXXp://zaebal11.uni.me/loads/cita.exe
 
Binary size cita.exe: 271622
MD5: 6b7a7415276014b9a9e6350724f4cae7
 
This malware infects the user with the Citadel Trojan which tries to connect against the fraudulent domain netreverseram.ru that is currently idle.
 
Access to the statistical panel of "Anonymous exploits kit" is via URL address:
 
hXXp://zaebal11.uni.me /loads/statistics/login.php

Showing the following screen:
 

Once inside the panel it can see the tracking information of infected users, the victim's home country, operating system version, browser version etc.
 

At the time of analysis this kit was in a very initial state without any infected user yet. There are only traces of the authors of KIT from IP of Netherlands.


The file structure of the KIT is:
 

 As remarkable new code of all files that make up the kit have been encrypted in Base64
 
This KIT takes advantage of vulnerabilities discovered for Java and PDF to infect the user with configured exploits in the kit:

Exploits are also encrypted so they couldn’t be reused by other criminal groups, and certainly when criminals finish adapting the kit  will have the latest vulnerabilities zero-day discovered for Java

In fact in the same fraudulent domain is hosted the famous Control panel Multilocker Trojan or Trojan Police that uses Java exploits to spread

As showed in the following screens:
 

And the list of cheated users who have already  made payments to unlock their computers
 

ANONYMOUS EXPLOITS KIT

Se ha encontrado un nuevo kit de inyección de malware llamado “Anonymous exploits kit”

Se ha localizado en el dominio zaebal11.uni.me alojado en una IP de Panama.

El vector de infeccion que inicia la descarga del troyano es:

hXXp://zaebal11.uni.me/loads/

Que descarga el binario malicioso:

hXXp://zaebal11.uni.me/loads/cita.exe

Tamaño del binario cita.exe: 271622

MD5: 6b7a7415276014b9a9e6350724f4cae7

Este Malware infecta al usuario con el troyano Citadel  el cual intenta conectarse contra el dominio malicioso netreverseram.ru que actualmente esta inactivo.

Se accede al panel estadístico del Anonymous exploits kit mediante la dirección:

hXXp://zaebal11.uni.me /loads/statistics/login.php

Que muestra el siguiente aspecto:

Una vez dentro del panel se puede observar el seguimiento de la información de los usuarios infectados, el país origen de la victima, su versión del sistema operativo, versión del navegador etc.

En los momentos del análisis el KiT se encontraba en un estado muy inicial sin ningún solo usuario infectado todavía. Solo hay trazas de los autores del KIT desde una IP de Holanda.

La estructura de ficheros del KIT es la siguiente:

Como novedad el código de todos los ficheros que componen el Kit han sido cifrados en Base64

Este KIT aprovecha las vulnerabilidades aparecidas para Java y PDF para infectar al usuario según los exploits que tiene configurados en el kit:

Los exploits también van cifrados para que no puedan ser reutilizados por otros grupos y seguramente cuando terminen de adaptar el kit contendrá las ultimas vulnerabilidades aparecidas para JAVA.

De hecho en el mismo dominio esta alojado el famoso panel de Control del troyano Multilocker o troyano Policia que aprovecha los Bugs de Java para propagarse.

Tal como muestran las siguientes pantallas:

Y la lista de usuarios que ya han realizados pagos para desbloquear su equipo