sábado, 10 de noviembre de 2007

Evolución del SCAM para el Phishing 3

En noviembre de 2003 aparecen los primeros casos de ataque a la banca On-Line, donde se envía un fichero con contenido malicioso, lo que es conocido como “troyano” para hacer phishing de la información bancaria. El troyano fue distribuido selectivamente a Pimes con actividad en Internet.
Ese ataque de email selectivo introducía el troyano embebido en código HTML y aprovechando la vulnerabilidad del manejador MHTML, de este modo fue posible incluir un script en el archivo, y ejecutarlo en la zona local. El troyano era una variante del Spy-Tofger, ZINX y VBS/Psyme, con los siguiente métodos de infección:


  1. Accediendo a una página Web donde está el código malicioso.

  2. A través de un email con el código malicioso en HTML o con el enlace a la Web

  3. Mediante la instalación y ejecución de un programa Visual Basic Script (.vbs) por cualquier otro método distinto a Web o email

Por la Web http://66.227.73.44 empleaba 2 vectores de infección:

  1. Graba 1.gif a C:\Program File\Windows Media Player\vmplayer.exe” y redirige a la url “mms://” que lanza el “Media Player”, mejor dicho el programa recien grabado.

  2. Carga “downkiller.php” (bug de .hta de IE, guarda y ejecuta un .vbs que descarga 1.gif a q.exe y lo ejecuta, borrando el fichero si ya existe
Al ejecutar el programa descargado se realizaban las siguientes acciones:

  1. Se copian 4 ficheros: system.exe, svchostc.exe, svchosts.exe y msto32.dll.

  2. Se añade una referencia en el registro para que se ejecute al arranque el system.exe

  3. Crea el identificador del usuario local con el formato:
    ddddmmmmyyyyhhhhMMMMssss, donde los 4 bytes “dddd” son el día, “mmmm” el mes, “yyyy” el año, “hhhh” la hora, MMMM los minutos y “ssss” los segundos, los valores se cumplmentan con ceros por delante. Por ejemplo: 00230011200312520027

  4. Recupera la identificación del registro:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Mserv “IDWin”

  5. system.exe al ejecutarse:
    a. Ejecuta los ficheros svchosts y svchostc
    b. Utiliza la librería msto32.dll para captura de teclas
    c. Crea y utiliza el fichero “c:\winnt\sysini.ini” como almacén de las capturas
    d. Acepta conexiones al puerto 10002 y permite la ejecución de varios comandos:
    i. RUNF: Ejecuta comando
    ii. PROC: Lista procesos
    iii. LIST: Lista ficheros
    iv. FIND: Busca fichero
    v. DELE: Borra fichero
    vi. DOWF: Carga fichero o directorio a un sitio FTP remoto: IP: 66.227.73.44, Usuario: jkrikho, Contraseña: kBwSB6xQ
    vii. UPLF: Descarga fichero de un sitio FTP o WEB remoto
    viii. UPDT: Descarga de actualización de troyano
    e. Envía la siguiente petición HTTP, a modo registro:


  6. Banesto, ebankinter, Sabadell, Santander Central, kutxanet, BBVA net Office, Login Page, Bank of China, online@hsbc, HSBC in HongKong, AIG Credit Card, Citybank HongKong, Bank y qweqwe121312 En el momento que el usuario infectado se encuentra en Internet y pulsa una tecla, comprueba si el título de la ventana actual (el tag de una página Web genera el título) (en primer plano) contiene alguna de las subcadenas de caracteres que tiene almacenadas:

  7. Si encuentra alguna de las subcadenas anteriores:
    a. Se guarda a disco el contenido del portapapeles, el título de la ventana y la tecla que se ha pulsado y a partir de aquí se guardan las pulsaciones hasta que se cambia el título de la ventana.
    b. Cada 30 seg y cuando esta conectado a Internet realiza:
    i. Reejecuta los ficheros svchostc y svchosts si fuese necesario
    ii. Comprueba la longitud del fichero sysini.ini y si es mayor de 200 bytes hace lo siguiente:
    1. Abre conexión TCP contra la dirección 194.67.23.10 (smtp.mail.ru)
    2. Compone mensaje con las directivas del protocolo SMTP:

  8. Keylogger “msto32.dll” es la librería encargada de realizar la captura del teclado, utilizada por el fichero system.exe, está librería se utiliza también en el troyano Spy-Togfer.

  9. Proxy “svchosts.exe” es lanzado por system.exe y pone a la escucha en el puerto 4488/tcp, servicio proxy peticiones HTTP y HTTPS.

  10. Proxy “svchostc.exe” es lanzado por system.exe y pone a la escucha en el puerto 3388/tcp, servicio SOCKS, similar a PROXY pero orientados a servicios no http.
    Como se ve en el código la Organización delictiva a través del email spaintroi@mail.ru tenía los datos confidenciales de las victimas, solo les quedaba realizar los apartados “b” (transferencia del capital a otra cuenta) y “c” (sacar el dinero del país victima al país de la organización).

1 comentario:

nuria dijo...

Este último artículo nos habla un poco de la historia del fraude on-line, cuando se descubren los primeros ataques y como se realizaron, para poder ver las diferencias notables con todas las técnicas y métodos ahora utilizados, mencionados en los anteriores artículos.

Nuria Pujol Gutierrez
11339860

Web Statistics