Anonymous Exploit Kit

It have been found a new malware injection kit named "Anonymous exploits kit"

It is located in the domain zaebal11.uni.me hosted on an IP of Panama.
 
The infection vector that drops the trojan is:
 
hXXp://zaebal11.uni.me/loads/

It downloads the malicious binary:
 
hXXp://zaebal11.uni.me/loads/cita.exe
 
Binary size cita.exe: 271622
MD5: 6b7a7415276014b9a9e6350724f4cae7
 
This malware infects the user with the Citadel Trojan which tries to connect against the fraudulent domain netreverseram.ru that is currently idle.
 
Access to the statistical panel of "Anonymous exploits kit" is via URL address:
 
hXXp://zaebal11.uni.me /loads/statistics/login.php

Showing the following screen:
 

Once inside the panel it can see the tracking information of infected users, the victim's home country, operating system version, browser version etc.
 

At the time of analysis this kit was in a very initial state without any infected user yet. There are only traces of the authors of KIT from IP of Netherlands.


The file structure of the KIT is:
 

 As remarkable new code of all files that make up the kit have been encrypted in Base64
 
This KIT takes advantage of vulnerabilities discovered for Java and PDF to infect the user with configured exploits in the kit:

Exploits are also encrypted so they couldn’t be reused by other criminal groups, and certainly when criminals finish adapting the kit  will have the latest vulnerabilities zero-day discovered for Java

In fact in the same fraudulent domain is hosted the famous Control panel Multilocker Trojan or Trojan Police that uses Java exploits to spread

As showed in the following screens:
 

And the list of cheated users who have already  made payments to unlock their computers
 

ANONYMOUS EXPLOITS KIT

Se ha encontrado un nuevo kit de inyección de malware llamado “Anonymous exploits kit”

Se ha localizado en el dominio zaebal11.uni.me alojado en una IP de Panama.

El vector de infeccion que inicia la descarga del troyano es:

hXXp://zaebal11.uni.me/loads/

Que descarga el binario malicioso:

hXXp://zaebal11.uni.me/loads/cita.exe

Tamaño del binario cita.exe: 271622

MD5: 6b7a7415276014b9a9e6350724f4cae7

Este Malware infecta al usuario con el troyano Citadel  el cual intenta conectarse contra el dominio malicioso netreverseram.ru que actualmente esta inactivo.

Se accede al panel estadístico del Anonymous exploits kit mediante la dirección:

hXXp://zaebal11.uni.me /loads/statistics/login.php

Que muestra el siguiente aspecto:

Una vez dentro del panel se puede observar el seguimiento de la información de los usuarios infectados, el país origen de la victima, su versión del sistema operativo, versión del navegador etc.

En los momentos del análisis el KiT se encontraba en un estado muy inicial sin ningún solo usuario infectado todavía. Solo hay trazas de los autores del KIT desde una IP de Holanda.

La estructura de ficheros del KIT es la siguiente:

Como novedad el código de todos los ficheros que componen el Kit han sido cifrados en Base64

Este KIT aprovecha las vulnerabilidades aparecidas para Java y PDF para infectar al usuario según los exploits que tiene configurados en el kit:

Los exploits también van cifrados para que no puedan ser reutilizados por otros grupos y seguramente cuando terminen de adaptar el kit contendrá las ultimas vulnerabilidades aparecidas para JAVA.

De hecho en el mismo dominio esta alojado el famoso panel de Control del troyano Multilocker o troyano Policia que aprovecha los Bugs de Java para propagarse.

Tal como muestran las siguientes pantallas:

Y la lista de usuarios que ya han realizados pagos para desbloquear su equipo

Antibot Guard System v.1.0 Experimental

Este nuevo CrimeWare kit ha sido diseñado para filtrar el tráfico que accede al servidor fraudulento donde está instalado.

No se trata de un Firewall. Funciona a nivel de control de la navegación de usuario.

Dispone de una base de datos de HoneyPots de 132k.

Su misión es eliminar todo el tráfico que los criminales no consideren interesante, de esta manera logran un alto numero de positivos en los impactos de sus paneles de control maliciosos, eliminando una gran cantidad de ruido que repercute en la eficiencia del Panel, así como también eliminar todos los impactos que provengan desde direcciones especializadas en la investigación Malware y demás casas de seguridad lucha contra el cybercrimen.

Las primeras referencias de este KIT aparece en los foros underground rusos especializados en este tipo de temas. Siendo su autor XShaman que también diseño el antiguo KIT de propagación de exploits  “Shaman's Dream” y que en esta ocasión lo ofrece a “El precio de emisión 500” tal como se observa en su anuncio en el foro:

De hecho si se accede al panel de Control se observa una gran similitud con el Panel del  “Shaman's Dream”

Los criminales solo necesitan instalar este kit AntiBot y modificar el archivo .htaccess del servidor donde han montado la infraestructura para que todo el tráfico que acceda a los paneles de control fraudulentos sea filtrado primero por el Antibot Guard System.

El Panel tiene funcionalidades para denegar el acceso desde todas las direcciones IP de HoneyPots que tenga registrados. Así como especial protección contra GoogleBot , Antiproxy , etc.

Permite prohibir el tipo de navegadores del usuario: MSIE, Firefox, Opera , Chrome para elegir o definir un navegador especifico.

Contiene un modulo de Geolocalizacion por IP GeoIP, para especificar una lista de países que se deseen eliminar el ruido del tráfico de la forma US,GB,CA,AU. etc;

Pantalla de configuración del tráfico que se desee banear:

Este menu solicita una contraseña extra de seguridad para evitar modificaciones por personal no autorizado.

Incluso deniega el tráfico si no tiene instalado el usuario la aplicación FlashPlayer , para la cual existen bastantes vulnerabilidades actualmente. Y prohibir usuarios que contengan ciertas cookies en su navegación.

También bloquea todas las peticiones que provengan de ciertas direcciones mediante el análisis del parámetro Referer de la navegación del usuario, tales como las direcciones de las Webs especializadas en recopilar datos de Malware Y phishing:

PANEL HERMES. BOTNET FOR DISTRIBUTED BRUTE FORCE ATTACKS

The Hermes botnet has been  developed to try to discover access credentials to servers or other services by distributed brute force attacks.

We are facing a botnet with a control panel almost identical to that used by the Zeus Trojan but with different functionalities.

It uses infected zombies users by the Trojan as attack vectors to spread the work process between them and that each infected computer perform multiple authentication attempts against the target machine. So we have an incredible Distributed Brute Force tool.

Here there is the Control Panel of the Hermes Botnet:

the greater number of compromised machines that command the panel greater brute force attack power, by throwing thousands of authentication attempts from different IP's.

This gets further confuse at security systems of attacked hosts by participating in the incident a variety of machines from different IP's simultaneously, making it difficult to block these IP's because is quite difficult to account for continuous requests from the same IP as the  classic brute force attack incident.

In the settings menu shows the list of passwords to be used for brute force attack

In the Import option from the Panel Menu is selected the target machine against to perform the distributed brute force attack and the name of the file that have been previously uploaded with a list of usernames which will be launched the authentication attempts against the victim host with the combinations pair of username / password  above

In this panel Hermes that was analyzed is seen how criminals have used it for testing using files with the IP address ranges of active machines that are hosted on Dreamhost and Godaddy USA ISP. And also the list of the files containing the list of usernames for the brute force attack.

The Usernames files contain list of people surnames & names to test.

AT Note option from panel can be seen how thousands of requests have been made against Godaddy addresses to test the HERMES Panel.

On day 05/12/2012 , 513.000 brute force authentication attempts were made against Godaddy serves at 18:15. 410,000 brute force  authentication attempts were made at 21:15. 481.460 brute force   authentication attempts were made at 22:44 ......... etc

PANEL HERMES. BOTNET DE ATAQUE POR FUERZA BRUTA DISTRIBUIDA

La botnet Hermes ha sido diseñada para tratar de descubrir las credenciales de acceso a los servidores u otros servicios mediante ataque por fuerza bruta.

Nos encontramos ante una botnet con un panel de Control casi idéntico al empleado por el troyano ZEUS pero con funcionalidades diferentes.

Para ello utiliza los usuarios zombies infectados por el troyano como vectores de ataque para repartir el proceso de trabajo entre ellos y que cada ordenador infectado realice múltiples intentos de autenticación contra la máquina destino. Así pues tenemos una herramienta de Fuerza Bruta Distribuida.

Este es el Panel de Control de la Botnet Hermes:

Cuando mayor número de equipos comprometidos controle el panel de Control mayor será la potencia del ataque por Fuerza Bruta, lanzando miles de intentos de autenticación desde diferentes IP. Además de confundir los sistemas de seguridad del Host atacado al participar en el incidente una gran variedad de máquinas desde IP’s diferentes simultáneamente lo que dificultara el bloqueo de estas IP’s al ser bastante complicado contabilizar las peticiones continuadas desde la misma IP como incidente de fuerza bruta.

En el menu de configuración del Panel se indica la lista de passwords que se va a emplear para el ataque por fuerza bruta.

En la opción Import del Menu se selecciona la máquina objetivo contra la que se va a realizar el ataque por fuerza bruta distribuida y el nombre del fichero que previamente se habrá subido al Panel de Control con una lista de nombres de usuarios contra los que se va a lanzar el par de combinaciones usuario / contraseña de intentos de autenticación contra dicho Host.

En el Panel Hermes que se ha analizado se observa como han empleado para realizar pruebas ficheros con los rangos de direcciones IP de máquinas activas que están alojadas en los proveedores de USA , Dreamhost y Godaddy . Así como los ficheros conteniendo la lista de usuarios para el ataque.

Estos archivos de usuarios contenían listas de nombres de personas de prueba.

Si observamos el panel de seguimiento de las pruebas realizadas vemos que han realizado miles de peticiones contra direcciones de Godaddy para probar el Panel HERMES.

Así pues el día 5-12-2012 realizaron 513.000 intentos de autenticación de fuerza bruta contra direcciones de Godaddy a las 18:15. 410.000 intentos de autenticación de fuerza bruta a las 21:15. 481.460 intentos de autenticación de fuerza bruta a las 22:44  ……… etc ….

BOTNET PONY 1.9 Malware

For the past few months has been detected at Crimeware scene a new class of  Malware called PONY Bonet. The Pony Control panel is identified by the logo of a this animal that appears in the famous Facebook game "Farmville"

The login screen panel of this new botnet Pony is:

Once control panel is accessed, it displays a menu with all available options. It can see that has been developed to capture all types of passwords and login credentials of infected users when they access applications and Internet sites. This is a very powerful type of Spy - Keylogger Malware with very dangerous features.

Pony Trojan is configured to capture all kinds of confidential information and access passwords for the following applications:

Passwords for FTP and SSH servers. The Trojan is able to recognize almost all FTP & SSH applications both commercial and opensource and extract its credentials:

  System Info , FAR Manager , Total Commander , WS_FTP , CuteFTP , FlashFXP , FileZilla , FTP commander , BulletProof FTP , SmartFTP , TurboFTP , FFFTP , CoffeeCup FTP / Sitemapper , CoreFTP , FTP Explorer , Frigate3 FTP , SecureFX , UltraFXP , FTPRush , WebSitePublisher , BitKinex , ExpanDrive , ClassicFTP , Fling , SoftX , Directory Opus , FreeFTP / DirectFTP , LeapFTP , WinSCP , 32bit FTP , NetDrive , WebDrive , FTP Control , Opera , WiseFTP , FTP Voyager , Firefox , FireFTP , SeaMonkey , Flock , Mozilla , LeechFTP , Odin Secure FTP Expert , WinFTP , FTP Surfer , FTPGetter , ALFTP , Internet Explorer , Dreamweaver , DeluxeFTP , Google Chrome , Chromium / SRWare Iron , ChromePlus , Bromium (Yandex Chrome) , Nichrome , Comodo Dragon , RockMelt , K-Meleon , Epic , Staff-FTP , AceFTP , Global Downloader , FreshFTP , BlazeFTP , NETFile , GoFTP , 3D-FTP , Easy FTP , Xftp , FTP Now , Robo-FTP , LinasFTP , Cyberduck , Putty , Notepad++ , CoffeeCup Visual Site Designer , FTPShell , FTPInfo , NexusFile , FastStone Browser , CoolNovo , WinZip , Yandex.Internet , MyFTP , sherrod FTP , NovaFTP , Windows Mail , Windows Live Mail , Becky! , Pocomail , IncrediMail , The Bat! , Outlook , Thunderbird , FastTrack .

Screen from menu management of the FTP grabber :

Also captures all kind of e-mails and their passwords, stored certificates and  RDP passwords

Control panel allows capturing all types of passwords for loging web applications on HTTP and HTTPS. It has a very powerful filter to configure Captures, selecting or excluding Internet domains to start capturing data when infected users access in these pages, and selects by text strings, domains , countries , dates, etc.

The statistical panel shows confidential data captured from Web browsing of infected users.

compromised Users by the Trojan Pony are ordered by their IP, the information gathered can be selected for each user by selecting the desired IP profile:

It is very interesting to see in the statistical panel the variety of data types that can be captured by the Trojan from infected users

 All captured data is encrypted and stored in a MySQL database to prevent being stolen if someone gains access to this information:

Finally we present part of  file structure of the KIT PONY Troyan:

Also Have been found other malicious addresses containing Pony panels actives at:

hXXp://217.195.200.12:8080/ponyb/admin.php

hXXp://195.5.208.204:8080/ponyb/admin.php

hXXp://9jal33ts.com/ponysample/admin.php

hXXp://198.27.83.179/popo/

hXXp: http://hostohu.net/p0x/admin.php

hXXp://vpro.juplo.com/p/admin.php

PONY 1.9 BOTNET

Desde hace unos pocos meses se ha detectado en el escenario del cibercrimen una nueva clase de Bonet Malware denominada PONY y que se identifica su panel por el logo de este animal que aparece en el famoso juego para Facebook “Farmville”

La pantalla de login al panel de este nuevo botnet Pony es la siguiente:

Una vez que se ha accedido a este Panel de Control aparece el menú con todas las opciones disponibles observándose que ha sido diseñado para capturar todo tipo de credenciales de acceso de las aplicaciones de los usuarios infectados así como de los sitios de Internet a los que accede. 

Se trata de un potente Malware del tipo Spy – Keylogger con funcionalidades muy peligrosas.

El troyano Pony está configurado para capturar toda clase de información confidencial y datos de acceso para las siguientes aplicaciones:

Contraseñas de acceso para servidores FTP y SSH. El troyano es capaz de reconocer casi todas las aplicaciones FTP, SSH existentes en el mercado y extraer sus credenciales:

System Info , FAR Manager , Total Commander , WS_FTP , CuteFTP , FlashFXP , FileZilla , FTP commander , BulletProof FTP , SmartFTP , TurboFTP , FFFTP , CoffeeCup FTP / Sitemapper , CoreFTP , FTP Explorer , Frigate3 FTP , SecureFX , UltraFXP , FTPRush , WebSitePublisher , BitKinex , ExpanDrive , ClassicFTP , Fling , SoftX , Directory Opus , FreeFTP / DirectFTP , LeapFTP , WinSCP , 32bit FTP , NetDrive , WebDrive , FTP Control , Opera , WiseFTP , FTP Voyager , Firefox , FireFTP , SeaMonkey , Flock , Mozilla , LeechFTP , Odin Secure FTP Expert , WinFTP , FTP Surfer , FTPGetter , ALFTP , Internet Explorer , Dreamweaver , DeluxeFTP , Google Chrome , Chromium / SRWare Iron , ChromePlus , Bromium (Yandex Chrome) , Nichrome , Comodo Dragon , RockMelt , K-Meleon , Epic , Staff-FTP , AceFTP , Global Downloader , FreshFTP , BlazeFTP , NETFile , GoFTP , 3D-FTP , Easy FTP , Xftp , FTP Now , Robo-FTP , LinasFTP , Cyberduck , Putty , Notepad++ , CoffeeCup Visual Site Designer , FTPShell , FTPInfo , NexusFile , FastStone Browser , CoolNovo , WinZip , Yandex.Internet , MyFTP , sherrod FTP , NovaFTP , Windows Mail , Windows Live Mail , Becky! , Pocomail , IncrediMail , The Bat! , Outlook , Thunderbird , FastTrack .

La pantalla del menú de gestión del capturador FTP:

También captura cualquier tipo de direcciones de e-mails , así como sus contraseñas de acceso , certificados que tenga almacenados el usuario , además de contraseñas de acceso RDP

El panel permite la captura de todo tipo de contraseñas de acceso a aplicaciones web bajo HTTP y HTTPS. Dispone de un filtro muy potente para configurar las capturas , seleccionando o excluyendo los dominios de Internet a los que el usuario infectado acceda para empezar a capturar datos cuando se encuentre en dichas páginas , así como cadenas de texto de captura , países de los dominios víctimas , fechas , etc.

El panel de seguimiento de los datos confidenciales capturados de la navegación Web de los usuarios infectados.

Los usuarios comprometidos por el troyano Pony están ordenados por su IP , pudiéndose seleccionar la información recopilada para cada usuario seleccionando el perfil de la IP deseada:

Es muy interesante observar en el panel estadístico la cantidad de información que puede capturar de los usuarios infectados por el troyano:

Todos los datos capturados son cifrados y almacenados en una base de datos en MySQL para evitar que sean robados si alguien logra acceder acceder a dicha información:

Finalmente se presenta parte de la estructura de ficheros del KIT PONY:

Se han localizado otras direcciones maliciosas conteniendo paneles Pony activos en:

hXXp://217.195.200.12:8080/ponyb/admin.php

hXXp://195.5.208.204:8080/ponyb/admin.php

hXXp://9jal33ts.com/ponysample/admin.php

hxxp://198.27.83.179/popo/