Entidades financieras en la mira de la botnet Zeus. Primera parte
Como ya he comentado en anteriores post, Zeus es una de las redes de computadoras zombi más importantes debido al gran número de nodos que conforman su red, y si bien su origen data de fines del 2007, en la actualidad se encuentra explotando malware de manera activa y masiva, ampliando su cobertura de ataques y actividades fraudulentas, administrando cada nodo a través de una interfaz web.
Tal es así que entre sus actividades se encuentran, además de la propia acción maliciosa de infección, activar todo un arsenal de scripts dañinos cuyos propósitos se canalizan en la infección masiva de equipos a través de troyanos, explotar diferentes vulnerabilidades conocidas, realizar ataques de phishing bajo el método de clonación de sitios web de diferentes entidades bancarias a nivel global y diferentes sistemas que ofrecen servicios pagos en línea.
Sabiendo este punto fundamental del propósito de Zeus centrado en un alto porcentaje de robo de información, la pregunta concreta que suponemos luego de leer estos breves párrafos es: ¿de qué manera obtiene Zeus la información que necesita del equipo víctima?
La respuesta a esta incógnita se encuentra en su archivo de configuración, el cual se encuentra cifrado. Una vez descifrado, el contenido de este archivo de configuración es similar al siguiente ejemplo real que muestra la información contenida en el archivo cfg.bin (MD5: 905dfab98b33e750bf78c8b29765279b):
Config version: 1.0.3.7De esta manera, y por intermedio de configuraciones avanzadas que explotan en el equipo víctima, el troyano de zeus logra obtener información sensible.
Loader url: http://yourcatfree.cn/trashes/ldr.exe
Server url: http://theyourbest.cn/rssfeederd/stat1.php
Advanced config 1: http://greatyourway.cn/trashesgg2/cfg.bin
Advanced config 2: http://theyourown.cn/trashesff1/cfg.bin
Advanced config 3: http://adviceswarning.com/trashesrr5/cfg.bin
Advanced config 4: http://ispspartners.com/trashes6/cfg.bin
Advanced config 5: http://ispscenter.com/trashesrr3/cfg.bin
Advanced config 6: http://alleips.com/trashestt3/cfg.bin
Fake 1: 0 PG http://adultfriendfinder.com/go*|http://centralet.cn/1/1.php|291351|
Fake 2: 0 PG http://adultfriendfinder.com/search/g*|http://centralet.c
/1/1.php|291351|
Fake 3: 0 PG http://adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|
Fake 4: 0 PG http://adultfriendfinder.com/cgi-bin/public/page.cgi?p=affiliate_multi*|http://centralet.cn/1/1.php|291351|
Fake 5: 0 PG http://staging.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|
Fake 6: 0 PG http://staging.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|
Fake 7: 0 PG http://www.adultfriendfinder.com/go*|http://centralet.cn/1/1.php|291351|
Fake 8: 0 PG http://www.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|
Fake 9: 0 PG http://www.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|
Fake 10: 0 PG http://www.adultfriendfinder.com/cgi-bin/public/page.cgi?p=affiliate_multi*|http://centralet.cn/1/1.php|291351|
Fake 11: 0 PG http://www.staging.adultfriendfinder.com/search/g*|http://centralet.cn/1/1.php|291351|
Fake 12: 0 PG http://www.staging.adultfriendfinder.com/search/p*|http://centralet.cn/1/1.php|291351|
Inject data 1: OK
Inject data 2: OK
Inject data 3: OK
Inject data 4: OK
Inject data 5: OK
Inject data 6: OK
Inject data 7: OK
Inject data 8: OK
Inject 1: https://www.e-gold.com/acct/balance.asp*|GPL|*|*
Inject 2: https://online.wellsfargo.com/das/cgi-bin/session.cgi*|GL|*|*
Inject 3: https://www.wellsfargo.com/*|G|*|*
Inject 4: https://online.wellsfargo.com/login*|GP|*|*
Inject 5: https://online.wellsfargo.com/signon*|GP|*|*
Inject 6: https://www.paypal.com/*/webscr?cmd=_account|GL|*|*
Inject 7: https://www.paypal.com/*/webscr?cmd=_login-done*|GL|*|*
Inject 8: https://www.gruposantander.es/bog/sbi*?ptns=acceso*|GP|*|*
Done!
# pistus
0 comentarios:
Publicar un comentario