Troyano Citadel BackConnect Windows Server VNC Manager

El kit del troyano Citadel tiene un modulo que permite conectarse remotamente mediante el cliente VNC a los equipos de los usuarios infectados por el troyano

Esto permite a los criminales conectarse a la máquina infectada para hacer transacciones financieras a través de esta, lo que hará que las transferencias fraudulentas sean prácticamente indetectables por los sistemas de control de operaciones del banco puesto que se están realizando a través de la IP y equipo legitimo del cliente.

La estructura del KIT del VNC Manager esta constituida por los siguientes ficheros:

El script test.php se emplea para comprobar la conectividad del equipo infectado.

hXXp://winserv_php_gate/test.php?p1=13319&p2=23283&b=AKSERVER_D9FA7E50D0F76FCB

El código de este script es el siguiente:

Se observa como el archivo que abre el tunel contra los puertos indicados es el ejecutable cbcs.exe (Citadel Backconnect Server) , una versión actualizada de la misma aplicación para el famoso troyano ZEUS: zsbcs.exe  (ZeuS BackConnect Server)

La forma como se inicia la conexión es la siguiente:

C:\>zsbcs.exe listen –cp:13319 -bp:23283

C:\> cbcs.exe listen -cp:13319 -bp:23283

Citadel Backconnect Server 1.2.0.0.

Build time: 13:12:41 07.12.2012 GMT.

Listening on IPv4 port 23283.

Listening on IPv4 port 13319.

Press Ctrl+C key to shutdown server.

Waiting for incoming connections (port of bot:23283, port of client:13319)

Una vez abierto el túnel, el criminal podrá conectarse en remoto mediante VNC o ejecutar comandos contra el equipo del usuario infectado teniendo total control de la máquina y su escritorio. Observando cuando el usuario interactúa con sus aplicaciones de banca electrónica y ejecutar scripts en la máquina infectada para modificar las transacciones del cliente y operar con las credenciales del usuario robadas por el troyano citadel.

Para acceder al panel estadístico con las conexiones VNC validas se visualizan mediante la URL: hXXp://ip-serv/control.html

En el servidor localizado anteriormente se observa la lista de equipos infectados por el troyano y que han sido utilizados por los criminales para sus propósitos fraudulentos en la dirección: 

hXXp://195.242.218.25/control.html

Esta lista de usuarios infectados también se almacena en el achivo: hXXp://195.242.218.25/log.txt

[04.09.2012 15:37:48] WOLF_7875768F483EE109, p1=11968 ,p2=34851

[04.09.2012 15:38:22] PERSONAL_74DEB1E387314069, p1=18666 ,p2=38002

[04.09.2012 23:48:39] ANDRES-HP_E532648A4A3763CB, p1=19870 ,p2=28229

[04.09.2012 23:50:17] 3A0AAE55F75646A_7875768F3990DE0A, p1=14943 ,p2=36576

[04.09.2012 23:51:50] ADMIN-PC_74DEB1E3F090E324, p1=17688 ,p2=31963

[05.09.2012 17:37:08] DIAL_INT-PC_E532648A8AFF5F32, p1=15504 ,p2=35943

[05.09.2012 17:38:35] LUIS-4E3325EABE_B4DF7611605FA143, p1=11689 ,p2=29435

[06.09.2012 13:53:25] RAULSISTEMAS_4983EC5A2711C179, p1=12665 ,p2=24109

[06.09.2012 13:55:15] CARLOS_7875768F483EE109, p1=18871 ,p2=25181

[06.09.2012 13:55:49] JAVIER_B4DF7611483EE109, p1=11475 ,p2=26807

[06.09.2012 13:56:24] OMARVAZQUEZ_1CB98D876522DF69, p1=15011 ,p2=31385

[06.09.2012 13:57:45] PUESTOV_4983EC5ACB9AD960, p1=19115 ,p2=34960

[07.09.2012 15:47:07] SHXP2364_7875768F7E657C89, p1=14409 ,p2=36871

[07.09.2012 15:48:23] PERSONAL_74DEB1E387314069, p1=10806 ,p2=34226

[07.09.2012 15:48:34] PC-JAVIER_7875768FEABD3289, p1=17728 ,p2=36485

[07.09.2012 15:49:00] DIAGONALMARLIM1_4A073834B2FFEE74, p1=18676 ,p2=28923

[07.09.2012 15:50:10] ANA-MARI-THINK_74DEB1E315C0DF75, p1=19752 ,p2=37007

Se observa como esta lista  contiene principalmente usuarios de origen español que habrán sido victimas de fraude en sus cuentas bancarias por Internet.

Actualmente se han localizado varios servidores conteniendo esta infraestructura criminal:

hXXp://95.77.98.137/ alojado en el proveedor UPC Romania BUCURESTI B2B MPLS de Rumania

hXXp://www.wanderbaresdeutschland.de/ alojado en la IP 85.214.116.67 perteneciente al proveedor stratoserver.net de Alemania

 hXXp://46.166.129.65/ alojado en el proveedor SANTREX-INTERNET-SERVICES de UK