Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 25 de marzo de 2009

Entidades financieras en la mira de la botnet Zeus. Primera parte

Como ya he comentado en anteriores post, Zeus es una de las redes de computadoras zombi más importantes debido al gran número de nodos que conforman su red, y si bien su origen data de fines del 2007, en la actualidad se encuentra explotando malware de manera activa y masiva, ampliando su cobertura de ataques y actividades fraudulentas, administrando cada nodo a través de una interfaz web.

Tal es así que entre sus actividades se encuentran, además de la propia acción maliciosa de infección, activar todo un arsenal de scripts dañinos cuyos propósitos se canalizan en la infección masiva de equipos a través de troyanos, explotar diferentes vulnerabilidades conocidas, realizar ataques de phishing bajo el método de clonación de sitios web de diferentes entidades bancarias a nivel global y diferentes sistemas que ofrecen servicios pagos en línea.

Sabiendo este punto fundamental del propósito de Zeus centrado en un alto porcentaje de robo de información, la pregunta concreta que suponemos luego de leer estos breves párrafos es: ¿de qué manera obtiene Zeus la información que necesita del equipo víctima?


La respuesta a esta incógnita se encuentra en su archivo de configuración, el cual se encuentra cifrado. Una vez descifrado, el contenido de este archivo de configuración es similar al siguiente ejemplo real que muestra la información contenida en el archivo cfg.bin
(MD5: 905dfab98b33e750bf78c8b29765279b):
Config version: 1.0.3.7
Loader url: http://yourcatfree.cn/trashes/ldr.exe

Server url: http://theyourbest.cn/rssfeederd/stat1.php

Advanced config 1: http://greatyourway.cn/trashesgg2/cfg.bin

Advanced config 2: http://theyourown.cn/trashesff1/cfg.bin

Advanced config 3: http://adviceswarning.com/trashesrr5/cfg.bin

Advanced config 4: http://ispspartners.com/trashes6/cfg.bin

Advanced config 5: http://ispscenter.com/trashesrr3/cfg.bin

Advanced config 6: http://alleips.com/trashestt3/cfg.bin

Fake 1: 0 PG http://adultfriendfinder.com/go*|http://centralet.cn/1/1.php|291351|

Fake 2: 0 PG http://adultfriendfinder.com/search/g*|http://centralet.c
/1/1.php|291351|

Fake 3: 0 PG http://adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Fake 4: 0 PG http://adultfriendfinder.com/cgi-bin/public/page.cgi?p=affiliate_multi*|http://centralet.cn/1/1.php|291351|

Fake 5: 0 PG http://staging.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|

Fake 6: 0 PG http://staging.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Fake 7: 0 PG http://www.adultfriendfinder.com/go*|http://centralet.cn/1/1.php|291351|

Fake 8: 0 PG http://www.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|

Fake 9: 0 PG http://www.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Fake 10: 0 PG http://www.adultfriendfinder.com/cgi-bin/public/page.cgi?p=affiliate_multi*|http://centralet.cn/1/1.php|291351|

Fake 11: 0 PG http://www.staging.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|

Fake 12: 0 PG http://www.staging.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|

Inject data 1: OK

Inject data 2: OK

Inject data 3: OK

Inject data 4: OK

Inject data 5: OK

Inject data 6: OK

Inject data 7: OK

Inject data 8: OK

Inject 1: https://www.e-gold.com/acct/balance.asp*|GPL|*|*

Inject 2: https://online.wellsfargo.com/das/cgi-bin/session.cgi*|GL|*|*

Inject 3: https://www.wellsfargo.com/*|G|*|*

Inject 4: https://online.wellsfargo.com/login*|GP|*|*

Inject 5: https://online.wellsfargo.com/signon*|GP|*|*

Inject 6: https://www.paypal.com/*/webscr?cmd=_account|GL|*|*

Inject 7: https://www.paypal.com/*/webscr?cmd=_login-done*|GL|*|*

Inject 8: https://www.gruposantander.es/bog/sbi*?ptns=acceso*|GP|*|*

Done!

De esta manera, y por intermedio de configuraciones avanzadas que explotan en el equipo víctima, el troyano de zeus logra obtener información sensible.

# pistus

Ver más