Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 3 de diciembre de 2009

Una breve mirada al interior de Fragus

Fragus es una de las aplicaciones web desarrolladas para la gestión de zombis, de origen ruso, que con poco tiempo de vida se ha insertado al mercado clandestino de crimeware con un precio accesible (USD 800) si tenemos en cuenta las capacidades delictivas que ofrece.

Este crimeware se compone básicamente de cinco secciones: Statistics, Files, Sellers, Traffic links y Preferences. Cada una de ellas se encarga de una tarea específica y todas se complementan entre ellas.

En el panel Files se encuentra la manipulación del archivo ejecutable que será diseminado.

En Sellers encontramos la gestión de exploits. En este caso, correspondiente a la primera versión de Fragus.

En cuanto al módulo Traffic links, permite realizar la "previa" configurando el iframeado y el script que será inyectado en la página que oficiará de "conductor" para la ejecución de los exploits configurador en el panel previo, que buscaran vulnerabilidades en el equipo víctima.

Sin embargo, uno de los patrones que se identifican en cada uno de los paquetes de este estilo, es el módulo estadístico. Este módulo proporciona la información de inteligencia necesaria para que el botmaster obtenga un reporte detallado no solo de los equipos zombis sino también de ciertos aspectos necesarios para conocer en detalle qué exploit deberá ejecutar.

Otro de los patrones interesantes que podemos deducir en función de esta información es que el sistema operativo más explotado es Windows XP con Internet Explorer, que el exploit con mayor eficacia, a pesar de ser muy antiguo (MS06-014) es el que aprovecha la vulnerabilidad en MDAC y que entre los países con mayor tasa de infección son EEUU y Korea.

Este representa un escenario común donde quizás, el factor de relevancia, es la deducción de que tal vez lo común de la situación se debe al importante volumen de usuario que utiliza el sistema operativo de Microsoft de forma no licenciada, lo cual conlleva a no actualizarlo.

Por último, otro importante factor que no debe pasar desapercibido es que a los ciber-delincuentes no les interesa la controversia que existe en torno a los niveles de seguridad que ofrece uno u otro sistema operativo (Windows, GNU/Linux y Mac OS) sino que todos entran en la mismo categoría de "potenciales víctimas" porque la vulnerabilidad explota en capa 7.

Información relacionada
Fragus. Nueva botnet framework In-the-Wild
JustExploit. Nuevo Exploit Kit que explota Java
DDoS Botnet. Nuevo crimeware de propósito particular
T-IFRAMER. Kit para la inyección de malware In-the-Wild
ZoPAck. Nueva alternativa para la explotación de vulnerabilidades

ZeuS Botnet y su poder de reclutamiento zombi
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Liberty Exploit System. Otra alternativa (...) para el control de botnets

Jorge Mieres

Ver más