domingo, 10 de febrero de 2013

ANONYMOUS EXPLOITS KIT


Se ha encontrado un nuevo kit de inyección de malware llamado “Anonymous exploits kit”

Se ha localizado en el dominio zaebal11.uni.me alojado en una IP de Panama.

El vector de infeccion que inicia la descarga del troyano es:

hXXp://zaebal11.uni.me/loads/

Que descarga el binario malicioso:

hXXp://zaebal11.uni.me/loads/cita.exe


Tamaño del binario cita.exe: 271622
MD5: 6b7a7415276014b9a9e6350724f4cae7

Este Malware infecta al usuario con el troyano Citadel  el cual intenta conectarse contra el dominio malicioso netreverseram.ru que actualmente esta inactivo.

Se accede al panel estadístico del Anonymous exploits kit mediante la dirección:


hXXp://zaebal11.uni.me /loads/statistics/login.php

Que muestra el siguiente aspecto:


Una vez dentro del panel se puede observar el seguimiento de la información de los usuarios infectados, el país origen de la victima, su versión del sistema operativo, versión del navegador etc.


En los momentos del análisis el KiT se encontraba en un estado muy inicial sin ningún solo usuario infectado todavía. Solo hay trazas de los autores del KIT desde una IP de Holanda.

La estructura de ficheros del KIT es la siguiente:


Como novedad el código de todos los ficheros que componen el Kit han sido cifrados en Base64

Este KIT aprovecha las vulnerabilidades aparecidas para Java y PDF para infectar al usuario según los exploits que tiene configurados en el kit:


Los exploits también van cifrados para que no puedan ser reutilizados por otros grupos y seguramente cuando terminen de adaptar el kit contendrá las ultimas vulnerabilidades aparecidas para JAVA.

De hecho en el mismo dominio esta alojado el famoso panel de Control del troyano Multilocker o troyano Policia que aprovecha los Bugs de Java para propagarse.

Tal como muestran las siguientes pantallas:


Y la lista de usuarios que ya han realizados pagos para desbloquear su equipo



No hay comentarios:

Publicar un comentario en la entrada

Nota: solo los miembros de este blog pueden publicar comentarios.