Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 4 de agosto de 2009

Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

El negocio que representa el crimeware dentro del mundo clandestino de comercialización de aplicativos web juega un rol importante en el plan de negocio de los desarrolladores rusos que dedican gran parte del tiempo en crear amenazas de este estilo.

Son varios los paquetes similares que hemos expuesto durante la corta existencia de este blog y cada día son más los que surgen con el ánimo de acrecentar la economía de sus autores. En este caso, se encuentra en “libertad” una nueva versión de Eleonore Exp (Abreviación de Eleonore Exploits Pack) que el autor ha presentado bajo la leyenda “Hello! I present new actual russian exploits pack "Eleonore Exp v1.2”.

Esta nueva versión del paquete está concebida, en primera instancia, para explotar las siguientes vulnerabilidades:
  • MDAC
  • MS009-02
  • Telnet - Opera
  • Font tags - FireFox
  • PDF collab.getIcon
  • PDF Util.Printf
  • PDF collab.collectEmailInfo
  • DirectX DirectShow
  • Spreadsheet
El proceso de instalación es muy sencillo y se realiza a través del archivo install.php, la configuración se especifica en el archivo config.php y el malware, por defecto, se llama load.exe (en caso de cambiar el nombre, la modificación debe ser reflejada en el archivo de configuración).

En la siguiente captura se aprecia la pantalla de estadísticas desde la cual se desprenden datos interesantes relacionados al total de sistemas operativos atacados, los navegadores mediante los cuales se explotó una vulnerabilidad junto a sus respectivas versiones, cantidad de zombis discriminados por países y los exploits utilizados.

En cuanto a los precios, este crimeware se comercializa a un costo de USD 700 y este valor corresponde sólo al Kit sin componentes extras como un Crypter (cuyo valor agregado es de USD 50). Por defecto, viene vinculado a un dominio; es decir, se compra y se usa, directamente, sin más trámites.

Sin embargo, en caso que el comprador prefiera desvincular el paquete de cualquiera de los dominios con los cuales se vende, puede hacerlo pero abonando la suma de USD 1500 por el Kit completo. Por otro lado, también se ofrece un combo mediante el cual los tres primeros compradores adquieren Eleonore Exp v1.2 más el crypter por un valor de USD 600.

En cuanto a las versiones anteriores, los costos son:
  • Eleonore Exp v1.0 = USD 300 (en un principio costaba USD 599): no posee DirectX DirectShow y Spreadsheet
  • Eleonore Exp v1.1 = USD 500: no posee Spreadsheet
Como es habitual, los botmasters que poseen versiones anteriores pueden actualizar los nuevos exploits y la funcionalidad de cargar un malware a través del panel de administración de manera local (desde su computadora) o de forma remota (desde una zombi).

Evidentemente, los servicios fraudulentos encuadrados dentro del acrónimo CaaS, Crimeware as a Service, aumentan de manera exponencial conforme pasa el tiempo en un mundo clandestino de desarrollo y comercialización sonde intervienen diferentes actores siendo el creador del crimeware y los botmaster (los que generalmente compran o alquilan en primera instancia el aplicativo web), los protagonistas más relevantes.

Información relacionada
TRiAD Botnet II. Administración remota de zombis multiplataforma
TRiAD Botnet. Administración remota de zombis en Linux
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Los precios del Crimeware ruso
Comercio Ruso de versiones privadas de crimeware ¡Aproveche la oferta!
ElFiesta. Reclutamiento zombi a través de múltiples amenazas
Mirando de cerca la estructura de Unique Sploits Pack
Adrenalin botnet: zona de comando. El crimeware ruso marca la tendencia
YES Exploit System. Otro crimeware made in Rusia
Creación Online de malware polimórfico basado en PoisonIvy

# Jorge Mieres

4 comentarios:

Quendi dijo...

Ante todo felicidades por el Blog!

Su lectura diaria se ha convertido en uno de los entretenimientos del dia.

Quisiera comentarte, perdona que te tutee, alguna cosilla al respecto de la información que aportas de manera diaria.

Si tienes un momento no dudes en ponerte en contacto conmigo quendi4359[arroba]gmail[punto]com.

Un saludo.

Ânderson dijo...

em Primeiro lugar parabéns pelo ótimo blog,seu conteudo é explicativo e interessante,porém poderia deixar alguma fonte dos scripts, até mesmo para nosso estudo,
más sobre tudo parabéns e continue com o seu trabalho..

Jorge Mieres dijo...

Hola Quendi, me pondré en contacto. Saludos.

Jorge Mieres dijo...

Oi Anderson, muito obrigado por o comentário. Qualquer coisa, não hesite em contactar-me.
Saudações

Publicar un comentario en la entrada