Se ha
encontrado un nuevo kit de inyección de malware llamado “Anonymous exploits
kit”
Se ha
localizado en el dominio zaebal11.uni.me alojado en una IP de Panama.
El vector
de infeccion que inicia la descarga del troyano es:
hXXp://zaebal11.uni.me/loads/
Que
descarga el binario malicioso:
hXXp://zaebal11.uni.me/loads/cita.exe
Tamaño del
binario cita.exe: 271622
MD5:
6b7a7415276014b9a9e6350724f4cae7
Este
Malware infecta al usuario con el troyano Citadel el cual intenta conectarse contra el dominio
malicioso netreverseram.ru que actualmente esta inactivo.
Se accede
al panel estadístico del Anonymous exploits kit mediante la dirección:
hXXp://zaebal11.uni.me
/loads/statistics/login.php
Que muestra
el siguiente aspecto:
Una vez
dentro del panel se puede observar el seguimiento de la información de los
usuarios infectados, el país origen de la victima, su versión del sistema
operativo, versión del navegador etc.
En los
momentos del análisis el KiT se encontraba en un estado muy inicial sin ningún
solo usuario infectado todavía. Solo hay trazas de los autores del KIT desde
una IP de Holanda.
La
estructura de ficheros del KIT es la siguiente:
Como
novedad el código de todos los ficheros que componen el Kit han sido cifrados
en Base64
Este KIT
aprovecha las vulnerabilidades aparecidas para Java y PDF para infectar al
usuario según los exploits que tiene configurados en el kit:
Los
exploits también van cifrados para que no puedan ser reutilizados por otros
grupos y seguramente cuando terminen de adaptar el kit contendrá las ultimas
vulnerabilidades aparecidas para JAVA.
De hecho en
el mismo dominio esta alojado el famoso panel de Control del troyano
Multilocker o troyano Policia que aprovecha los Bugs de Java para propagarse.
Tal como
muestran las siguientes pantallas:
Y la lista
de usuarios que ya han realizados pagos para desbloquear su equipo
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.