Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 27 de febrero de 2009

LuckySploit, la mano derecha de Zeus

LuckySploit es el nombre de un conjunto de scripts (Toolkit) diseñados para explotar diferentes vulnerabilidades y permitir la ejecución de binarios en el equipo víctima de manera arbitraria.

Actualmente, estos scripts, sometidos a ofuscación, están siendo utilizados por la botnet Zeus para reclutar zombies PCs a través de ataques Drive-by-Download.

Cuando se accede a la dirección web, sólo se visualiza una página en blanco; sin embargo, al chequear su código fuente aparece un código escrito en JavaScript como el siguiente:

El script se encuentra cifrado con el algoritmo RSA. Esta información se visualiza al final del código.

Otro dato interesante es que el script sólo se visualiza una sola vez, es decir, si se intenta acceder nuevamente a la misma dirección, al chequear nuevamente el código fuente del HTML, el script ya no se encuentra disponible.

Algunos de los dominios que contienen a LuckySploit se encuentran reflejados a continuación:
r-state .com/ equi/
trafffive .cn/wait/ ?t=15
trafffive .cn/bm/ ?t=15
directlink9 .cn/wait/ ?t=15
directlink4 .cn/bm/ ?t=15
directlink2 .cn/wait/ ?t=15
directlink1 .cn/bm/ ?t=15
directlink0 .cn/wait/ ?t=15
superioradz .info/opis3/ ?t=2
superioradz .info/opis2/ ?t=2
rodexcom .org/parus/ ?t=5
dvlorg .net/parus/ ?t=25
top.sei-keine .com/u-store/ ?t=1
statclick .net/main/ ?t=1
deinglaube .com/ images/
202.73.57.6/ tomi
federalreserve.banknetworks .net/bb/ ?t=2
fuadrenal .com/mito/ ?t=2
fuck-lady .com/prn/index .php
hello-to-you .net/rttz/ ?t=6

Cabe aclarar que muchas de estas URL's se encuentran activas, por lo tanto, si decide acceder a cualquiera de ella, tenga presente las medidas de seguridad adecuadas para el caso en cuestión.

En algunos script, al desofuscarlo, claramente se lee al final del mismo un mensaje que dice:
attack_level = 0;;
try {
f = 'Welcome to LuckySploit:) \n ITS TOASTED';

De esta manera, Zeus se encuentra adhiriendo equipos a su red maliciosa de computadoras infectadas.

Información relacionada:
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Zeus Botnet. Masiva propagación de su troyano. Primera parte
Ataque de malware vía Drive-by-Download


# pistus

Ver más