Se trata de un kit de propagación de malware orientado contra usuarios de Mexico. Ha sido creado por el grupo Malandrines.n3t , recibiendo la denominación Karn!v0r3x v1.0.
La funcionalidad de este kit es bastante similar a los últimos troyanos bancarios orientados contra Latam. Convierte la máquina del usuario infectado en un ordenador zombie capturando la información confidencial del usuario , tales como sus contraseñas y datos bancarios además de enviarle ordenes en remoto para modificar su archivo hosts y descargar binarios maliciosos en el equipo de la victima.
El binario que iniciaba la infección se descargaba desde la URL maliciosa:
hXXp://ventastazmaniax1.com/sistemados/Microsoft.exe
Actualmente esta dirección se encuentra inactiva
Durante la investigación de este Malware se ha localizado otra dirección que esta activa y con el Panel de Control de la red Botnet totalmente operativo.
Este panel esta alojado en la dirección:
hXXp://www.alertas.gob.mx/imagenes_noticias/
La funcionalidad de este kit es bastante similar a los últimos troyanos bancarios orientados contra Latam. Convierte la máquina del usuario infectado en un ordenador zombie capturando la información confidencial del usuario , tales como sus contraseñas y datos bancarios además de enviarle ordenes en remoto para modificar su archivo hosts y descargar binarios maliciosos en el equipo de la victima.
El binario que iniciaba la infección se descargaba desde la URL maliciosa:
hXXp://ventastazmaniax1.com/sistemados/Microsoft.exe
Actualmente esta dirección se encuentra inactiva
Durante la investigación de este Malware se ha localizado otra dirección que esta activa y con el Panel de Control de la red Botnet totalmente operativo.
Este panel esta alojado en la dirección:
hXXp://www.alertas.gob.mx/imagenes_noticias/
Lo sorprendente de esta dirección www.alertas.gob.mx es que se trata de una Web legitima del Gobierno de México perteneciente a la Procuraduria federal del Consumidor.
Esta Web ha sido comprometida por los criminales para alojar en su servidor toda la infraestructura maliciosa del panel de Control del troyano y de esta manera evadir todos los filtros de control de las plataformas antivíricas al estar catalogada la Web como legitima, además de conseguir engañar a los usuarios infectados con la apariencia de legalidad de la web
Una vez que el usuario ha sido infectado su equipo recibe ordenes desde el Panel de Control para iniciar la captura de todas las pulsaciones del teclado que se realicen cuando en la barra del navegador se visite alguna de las URL’s que contienen las palabras claves que se indican desde la petición:
hXXp://www.alertas.gob.mx/imagenes_noticias/bot.php?b=sites
En el momento del análisis la configuración que contenía era la siguiente:
Como se puede observar la mayoría de las entidades contra la que va dirigida la captura de datos sensibles son mexicanas.
En el Panel de Control se obtiene un informe estadístico mas detallado por el numero de usuarios comprometidos que tienen datos de las entidades seleccionadas:
La ventaja de este panel es la comodidad de uso puesto que se puede seleccionar los datos por entidad objetivo mostrándonos la información de las máquinas zombies que han visitado dicha entidad:
Y a su vez podemos seleccionar el usuario especifico para obtener la información recopilada de su máquina:
Como se puede observar se pueden realizar bastantes acciones en remoto para controlar dicha maquina zombie. Se puede iniciar y detener la funcionalidad de keylogger con lo que su actividad pasara mas desapercibida , se puede realizar una captura en remoto de la imagen completa de la pantalla del usuario que tenga en ese momento en su equipo. Se puede enviar ordenes para enviar y ejecutar en remoto otros archivos binarios, así como configurar su archivo hosts para realizar ataques tipo pharming en la máquina del usuario.
