It have been found a new malware injection kit named "Anonymous exploits kit"
It is located in the domain zaebal11.uni.me hosted on an IP of Panama.
The infection vector that drops the trojan is:
hXXp://zaebal11.uni.me/loads/
It downloads the malicious binary:
hXXp://zaebal11.uni.me/loads/cita.exe
Binary size cita.exe: 271622
MD5: 6b7a7415276014b9a9e6350724f4cae7
This malware infects the user with the Citadel Trojan which tries to connect against the fraudulent domain netreverseram.ru that is currently idle.
Access to the statistical panel of "Anonymous exploits kit" is via URL address:
hXXp://zaebal11.uni.me /loads/statistics/login.php
Showing the following screen:
Once inside the panel it can see the tracking information of infected users, the victim's home country, operating system version, browser version etc.
At the time of analysis this kit was in a very initial state without any infected user yet. There are only traces of the authors of KIT from IP of Netherlands.
The file structure of the KIT is:
As remarkable new code of all files that make up the kit have been encrypted in Base64
This KIT takes advantage of vulnerabilities discovered for Java and PDF to infect the user with configured exploits in the kit:
Exploits are also encrypted so they couldn’t be reused by other criminal groups, and certainly when criminals finish adapting the kit will have the latest vulnerabilities zero-day discovered for Java
In fact in the same fraudulent domain is hosted the famous Control panel Multilocker Trojan or Trojan Police that uses Java exploits to spread
As showed in the following screens:
And the list of cheated users who have already made payments to unlock their computers
lunes, 11 de febrero de 2013
domingo, 10 de febrero de 2013
ANONYMOUS EXPLOITS KIT
Se ha
encontrado un nuevo kit de inyección de malware llamado “Anonymous exploits
kit”
Se ha
localizado en el dominio zaebal11.uni.me alojado en una IP de Panama.
El vector
de infeccion que inicia la descarga del troyano es:
hXXp://zaebal11.uni.me/loads/
Que
descarga el binario malicioso:
hXXp://zaebal11.uni.me/loads/cita.exe
Tamaño del
binario cita.exe: 271622
MD5:
6b7a7415276014b9a9e6350724f4cae7
Este
Malware infecta al usuario con el troyano Citadel el cual intenta conectarse contra el dominio
malicioso netreverseram.ru que actualmente esta inactivo.
Se accede
al panel estadístico del Anonymous exploits kit mediante la dirección:
hXXp://zaebal11.uni.me
/loads/statistics/login.php
Que muestra
el siguiente aspecto:
Una vez
dentro del panel se puede observar el seguimiento de la información de los
usuarios infectados, el país origen de la victima, su versión del sistema
operativo, versión del navegador etc.
En los
momentos del análisis el KiT se encontraba en un estado muy inicial sin ningún
solo usuario infectado todavía. Solo hay trazas de los autores del KIT desde
una IP de Holanda.
La
estructura de ficheros del KIT es la siguiente:
Como
novedad el código de todos los ficheros que componen el Kit han sido cifrados
en Base64
Este KIT
aprovecha las vulnerabilidades aparecidas para Java y PDF para infectar al
usuario según los exploits que tiene configurados en el kit:
Los
exploits también van cifrados para que no puedan ser reutilizados por otros
grupos y seguramente cuando terminen de adaptar el kit contendrá las ultimas
vulnerabilidades aparecidas para JAVA.
De hecho en
el mismo dominio esta alojado el famoso panel de Control del troyano
Multilocker o troyano Policia que aprovecha los Bugs de Java para propagarse.
Tal como
muestran las siguientes pantallas:
Y la lista
de usuarios que ya han realizados pagos para desbloquear su equipo
domingo, 27 de enero de 2013
Antibot Guard System v.1.0 Experimental
Este nuevo
CrimeWare kit ha sido diseñado para filtrar el tráfico que accede al servidor
fraudulento donde está instalado.
No se trata
de un Firewall. Funciona a nivel de control de la navegación de usuario.
Dispone de
una base de datos de HoneyPots de 132k.
Su misión
es eliminar todo el tráfico que los criminales no consideren interesante, de
esta manera logran un alto numero de positivos en los impactos de sus paneles
de control maliciosos, eliminando una gran cantidad de ruido que repercute en
la eficiencia del Panel, así como también eliminar todos los impactos que
provengan desde direcciones especializadas en la investigación Malware y demás
casas de seguridad lucha contra el cybercrimen.
Las
primeras referencias de este KIT aparece en los foros underground rusos
especializados en este tipo de temas. Siendo su autor XShaman que también
diseño el antiguo KIT de propagación de exploits “Shaman's Dream” y que en esta ocasión lo
ofrece a “El precio de emisión 500”
tal como se observa en su anuncio en el foro:
De hecho si
se accede al panel de Control se observa una gran similitud con el Panel
del “Shaman's Dream”
Los
criminales solo necesitan instalar este kit AntiBot y modificar el archivo .htaccess
del servidor donde han montado la infraestructura para que todo el tráfico que
acceda a los paneles de control fraudulentos sea filtrado primero por el
Antibot Guard System.
El Panel
tiene funcionalidades para denegar el acceso desde todas las direcciones IP de
HoneyPots que tenga registrados. Así como especial protección contra GoogleBot
, Antiproxy , etc.
Permite
prohibir el tipo de navegadores del usuario: MSIE, Firefox, Opera , Chrome para
elegir o definir un navegador especifico.
Contiene un
modulo de Geolocalizacion por IP GeoIP, para especificar una lista de países
que se deseen eliminar el ruido del tráfico de la forma US,GB,CA,AU. etc;
Pantalla de
configuración del tráfico que se desee banear:
Este menu
solicita una contraseña extra de seguridad para evitar modificaciones por
personal no autorizado.
Incluso
deniega el tráfico si no tiene instalado el usuario la aplicación FlashPlayer ,
para la cual existen bastantes vulnerabilidades actualmente. Y prohibir
usuarios que contengan ciertas cookies en su navegación.
También
bloquea todas las peticiones que provengan de ciertas direcciones mediante el
análisis del parámetro Referer de la navegación del usuario, tales como las
direcciones de las Webs especializadas en recopilar datos de Malware Y
phishing:
martes, 22 de enero de 2013
PANEL HERMES. BOTNET FOR DISTRIBUTED BRUTE FORCE ATTACKS
The Hermes botnet has
been developed to try to discover access
credentials to servers or other services by distributed brute force attacks.
We
are facing a botnet with a control panel almost identical to that used by the
Zeus Trojan but with different functionalities.
It uses
infected zombies users by the Trojan as attack vectors to spread the work
process between them and that each infected computer perform multiple
authentication attempts against the target machine. So we have an incredible
Distributed Brute Force tool.
Here there
is the Control Panel of the Hermes Botnet:
the greater
number of compromised machines that command the panel greater brute force
attack power, by throwing thousands of authentication attempts from different
IP's.
This gets
further confuse at security systems of attacked hosts by participating in the
incident a variety of machines from different IP's simultaneously, making it
difficult to block these IP's because is quite difficult to account for
continuous requests from the same IP as the
classic brute force attack incident.
In the
settings menu shows the list of passwords to be used for brute force attack
In the
Import option from the Panel Menu is selected the target machine against to
perform the distributed brute force attack and the name of the file that have
been previously uploaded with a list of usernames which will be launched the
authentication attempts against the victim host with the combinations pair of
username / password above
In this
panel Hermes that was analyzed is seen how criminals have used it for testing
using files with the IP address ranges of active machines that are hosted on
Dreamhost and Godaddy USA ISP. And also the list of the files containing the
list of usernames for the brute force attack.
The Usernames
files contain list of people surnames & names to test.
AT Note
option from panel can be seen how thousands of requests have been made against
Godaddy addresses to test the HERMES Panel.
On day
05/12/2012 , 513.000 brute force authentication attempts were made against
Godaddy serves at 18:15. 410,000 brute force
authentication attempts were made at 21:15. 481.460 brute force authentication attempts were made at 22:44
......... etc
PANEL HERMES. BOTNET DE ATAQUE POR FUERZA BRUTA DISTRIBUIDA
La botnet Hermes ha sido diseñada para tratar de descubrir las credenciales de acceso a los servidores u otros servicios mediante ataque por fuerza bruta.
Nos
encontramos ante una botnet con un panel de Control casi idéntico al empleado
por el troyano ZEUS pero con funcionalidades diferentes.
Para ello
utiliza los usuarios zombies infectados por el troyano como vectores de ataque
para repartir el proceso de trabajo entre ellos y que cada ordenador infectado
realice múltiples intentos de autenticación contra la máquina destino. Así pues
tenemos una herramienta de Fuerza Bruta Distribuida.
Este es el
Panel de Control de la Botnet Hermes :
Cuando
mayor número de equipos comprometidos controle el panel de Control mayor será
la potencia del ataque por Fuerza Bruta, lanzando miles de intentos de
autenticación desde diferentes IP. Además de confundir los sistemas de
seguridad del Host atacado al participar en el incidente una gran variedad de
máquinas desde IP’s diferentes simultáneamente lo que dificultara el bloqueo de
estas IP’s al ser bastante complicado contabilizar las peticiones continuadas
desde la misma IP como incidente de fuerza bruta.
En el menu
de configuración del Panel se indica la lista de passwords que se va a emplear
para el ataque por fuerza bruta.
En la
opción Import del Menu se selecciona la máquina objetivo contra la que se va a
realizar el ataque por fuerza bruta distribuida y el nombre del fichero que
previamente se habrá subido al Panel de Control con una lista de nombres de
usuarios contra los que se va a lanzar el par de combinaciones usuario /
contraseña de intentos de autenticación contra dicho Host.
En el Panel
Hermes que se ha analizado se observa como han empleado para realizar pruebas
ficheros con los rangos de direcciones IP de máquinas activas que están
alojadas en los proveedores de USA , Dreamhost y Godaddy . Así como los
ficheros conteniendo la lista de usuarios para el ataque.
Estos
archivos de usuarios contenían listas de nombres de personas de prueba.
Si
observamos el panel de seguimiento de las pruebas realizadas vemos que han
realizado miles de peticiones contra direcciones de Godaddy para probar el
Panel HERMES.
Así pues el
día 5-12-2012 realizaron 513.000 intentos de autenticación de fuerza bruta
contra direcciones de Godaddy a las 18:15. 410.000 intentos de autenticación de
fuerza bruta a las 21:15. 481.460 intentos de autenticación de fuerza bruta a
las 22:44 ……… etc ….
miércoles, 16 de enero de 2013
BOTNET PONY 1.9 Malware
For the past few months has been detected at Crimeware scene a new class of Malware called PONY Bonet. The Pony Control panel is identified by the logo of a this animal that appears in the famous Facebook game "Farmville"
The login screen panel of this new botnet Pony is:
Once control panel is accessed, it displays a menu
with all available options. It can see that has been developed to capture all
types of passwords and login credentials of infected users when they access
applications and Internet sites. This is a very powerful type of Spy -
Keylogger Malware with very dangerous features.
Pony Trojan is configured to capture all kinds of
confidential information and access passwords for the following applications:
Passwords for FTP and SSH servers. The Trojan is able
to recognize almost all FTP & SSH applications both commercial and
opensource and extract its credentials:
System Info ,
FAR Manager , Total Commander , WS_FTP , CuteFTP , FlashFXP , FileZilla , FTP
commander , BulletProof FTP , SmartFTP , TurboFTP , FFFTP , CoffeeCup FTP /
Sitemapper , CoreFTP , FTP Explorer , Frigate3 FTP , SecureFX , UltraFXP ,
FTPRush , WebSitePublisher , BitKinex , ExpanDrive , ClassicFTP , Fling , SoftX
, Directory Opus , FreeFTP / DirectFTP , LeapFTP , WinSCP , 32bit FTP ,
NetDrive , WebDrive , FTP Control , Opera , WiseFTP , FTP Voyager , Firefox ,
FireFTP , SeaMonkey , Flock , Mozilla , LeechFTP , Odin Secure FTP Expert ,
WinFTP , FTP Surfer , FTPGetter , ALFTP , Internet Explorer , Dreamweaver ,
DeluxeFTP , Google Chrome , Chromium / SRWare Iron , ChromePlus , Bromium
(Yandex Chrome) , Nichrome , Comodo Dragon , RockMelt , K-Meleon , Epic ,
Staff-FTP , AceFTP , Global Downloader , FreshFTP , BlazeFTP , NETFile , GoFTP
, 3D-FTP , Easy FTP , Xftp , FTP Now , Robo-FTP , LinasFTP , Cyberduck , Putty
, Notepad++ , CoffeeCup Visual Site Designer , FTPShell , FTPInfo , NexusFile ,
FastStone Browser , CoolNovo , WinZip , Yandex.Internet , MyFTP , sherrod FTP ,
NovaFTP , Windows Mail , Windows Live Mail , Becky! , Pocomail , IncrediMail ,
The Bat! , Outlook , Thunderbird , FastTrack .
Screen from menu management of the FTP grabber :
Also captures all kind of e-mails and their passwords,
stored certificates and RDP passwords
Control panel allows capturing all types of passwords
for loging web applications on HTTP and HTTPS. It has a very powerful filter to
configure Captures, selecting or excluding Internet domains to start capturing
data when infected users access in these pages, and selects by text strings,
domains , countries , dates, etc.
The statistical panel shows confidential data captured
from Web browsing of infected users.
compromised Users by the Trojan Pony are ordered by
their IP, the information gathered can be selected for each user by selecting
the desired IP profile:
It is very interesting to see in the statistical panel
the variety of data types that can be captured by the Trojan from infected
users
All captured data is encrypted and stored in a MySQL
database to prevent being stolen if someone gains access to this information:
Finally we present part
of file structure
of the KIT PONY
Troyan:
Also Have been found other malicious addresses
containing Pony panels actives at:
hXXp://217.195.200.12:8080/ponyb/admin.php
hXXp://195.5.208.204:8080/ponyb/admin.php
hXXp://9jal33ts.com/ponysample/admin.php
hXXp://198.27.83.179/popo/
hXXp: http://hostohu.net/p0x/admin.php
hXXp://vpro.juplo.com/p/admin.php
domingo, 13 de enero de 2013
PONY 1.9 BOTNET
Desde hace
unos pocos meses se ha detectado en el escenario del cibercrimen una nueva
clase de Bonet Malware denominada PONY y que se identifica su panel por el logo
de este animal que aparece en el famoso juego para Facebook “Farmville”
Una vez que se ha accedido a este Panel de Control aparece el menú con todas las opciones disponibles observándose que ha sido diseñado para capturar todo tipo de credenciales de acceso de las aplicaciones de los usuarios infectados así como de los sitios de Internet a los que accede.
Se trata de un potente Malware del tipo Spy – Keylogger con funcionalidades muy peligrosas.
La pantalla del menú de gestión del capturador FTP:
Una vez que se ha accedido a este Panel de Control aparece el menú con todas las opciones disponibles observándose que ha sido diseñado para capturar todo tipo de credenciales de acceso de las aplicaciones de los usuarios infectados así como de los sitios de Internet a los que accede.
Se trata de un potente Malware del tipo Spy – Keylogger con funcionalidades muy peligrosas.
El troyano
Pony está configurado para capturar toda clase de información confidencial y
datos de acceso para las siguientes aplicaciones:
Contraseñas
de acceso para servidores FTP y SSH. El troyano es capaz de reconocer casi todas
las aplicaciones FTP, SSH existentes en el mercado y extraer sus credenciales:
System Info , FAR Manager , Total Commander , WS_FTP , CuteFTP , FlashFXP , FileZilla , FTP commander , BulletProof FTP , SmartFTP , TurboFTP , FFFTP , CoffeeCup FTP / Sitemapper , CoreFTP , FTP Explorer , Frigate3 FTP , SecureFX , UltraFXP , FTPRush , WebSitePublisher , BitKinex , ExpanDrive , ClassicFTP , Fling , SoftX , Directory Opus , FreeFTP / DirectFTP , LeapFTP , WinSCP , 32bit FTP , NetDrive , WebDrive , FTP Control , Opera , WiseFTP , FTP Voyager , Firefox , FireFTP , SeaMonkey , Flock , Mozilla , LeechFTP , Odin Secure FTP Expert , WinFTP , FTP Surfer , FTPGetter , ALFTP , Internet Explorer , Dreamweaver , DeluxeFTP , Google Chrome , Chromium / SRWare Iron , ChromePlus , Bromium (Yandex Chrome) , Nichrome , Comodo Dragon , RockMelt , K-Meleon , Epic , Staff-FTP , AceFTP , Global Downloader , FreshFTP , BlazeFTP , NETFile , GoFTP , 3D-FTP , Easy FTP , Xftp , FTP Now , Robo-FTP , LinasFTP , Cyberduck , Putty , Notepad++ , CoffeeCup Visual Site Designer , FTPShell , FTPInfo , NexusFile , FastStone Browser , CoolNovo , WinZip , Yandex.Internet , MyFTP , sherrod FTP , NovaFTP , Windows Mail , Windows Live Mail , Becky! , Pocomail , IncrediMail , The Bat! , Outlook , Thunderbird , FastTrack .
System Info , FAR Manager , Total Commander , WS_FTP , CuteFTP , FlashFXP , FileZilla , FTP commander , BulletProof FTP , SmartFTP , TurboFTP , FFFTP , CoffeeCup FTP / Sitemapper , CoreFTP , FTP Explorer , Frigate3 FTP , SecureFX , UltraFXP , FTPRush , WebSitePublisher , BitKinex , ExpanDrive , ClassicFTP , Fling , SoftX , Directory Opus , FreeFTP / DirectFTP , LeapFTP , WinSCP , 32bit FTP , NetDrive , WebDrive , FTP Control , Opera , WiseFTP , FTP Voyager , Firefox , FireFTP , SeaMonkey , Flock , Mozilla , LeechFTP , Odin Secure FTP Expert , WinFTP , FTP Surfer , FTPGetter , ALFTP , Internet Explorer , Dreamweaver , DeluxeFTP , Google Chrome , Chromium / SRWare Iron , ChromePlus , Bromium (Yandex Chrome) , Nichrome , Comodo Dragon , RockMelt , K-Meleon , Epic , Staff-FTP , AceFTP , Global Downloader , FreshFTP , BlazeFTP , NETFile , GoFTP , 3D-FTP , Easy FTP , Xftp , FTP Now , Robo-FTP , LinasFTP , Cyberduck , Putty , Notepad++ , CoffeeCup Visual Site Designer , FTPShell , FTPInfo , NexusFile , FastStone Browser , CoolNovo , WinZip , Yandex.Internet , MyFTP , sherrod FTP , NovaFTP , Windows Mail , Windows Live Mail , Becky! , Pocomail , IncrediMail , The Bat! , Outlook , Thunderbird , FastTrack .
La pantalla del menú de gestión del capturador FTP:
También captura
cualquier tipo de direcciones de e-mails , así como sus contraseñas de acceso ,
certificados que tenga almacenados el usuario , además de contraseñas de acceso
RDP
El panel
permite la captura de todo tipo de contraseñas de acceso a aplicaciones web
bajo HTTP y HTTPS. Dispone de un filtro muy potente para configurar las
capturas , seleccionando o excluyendo los dominios de Internet a los que el
usuario infectado acceda para empezar a capturar datos cuando se encuentre en
dichas páginas , así como cadenas de texto de captura , países de los dominios víctimas
, fechas , etc.
El panel de
seguimiento de los datos confidenciales capturados de la navegación Web de los
usuarios infectados.
Los usuarios
comprometidos por el troyano Pony están ordenados por su IP , pudiéndose seleccionar
la información recopilada para cada usuario seleccionando el perfil de la IP
deseada:
Es muy
interesante observar en el panel estadístico la cantidad de información que
puede capturar de los usuarios infectados por el troyano:
Todos los
datos capturados son cifrados y almacenados en una base de datos en MySQL para
evitar que sean robados si alguien logra acceder acceder a dicha información:
Finalmente se
presenta parte de la estructura de ficheros del KIT PONY:
Se han
localizado otras direcciones maliciosas conteniendo paneles Pony activos en:
hXXp://217.195.200.12:8080/ponyb/admin.php
hXXp://195.5.208.204:8080/ponyb/admin.php
hXXp://9jal33ts.com/ponysample/admin.php
hxxp://198.27.83.179/popo/
Suscribirse a:
Entradas (Atom)