viernes, 11 de mayo de 2012

CHINA BOTNET: Jack Loader y Super Loader

At cybercrime scene there is a new class of botnets networks origin from China. This zombies networks is quite advanced and are spreading silently infecting thousands of computers, mainly from Asian users, collecting information from the infected users for long time until they are disabled.


The first of these botnets that was detected is known as JACK LOADER . Is called of this way because appears with this name at the login screen on the control panel. Malicious botnet infrastructure were hosted on the domain justnewleft.ru



The first signs of this botnet is back near the end of 2010.

About this time already had news of this threat in the security Web portal Threat Experts:

http://www.threatexpert.com/report.aspx?md5=2c663f625c64dba6ce117097aefba658

you can see the connection string of the Trojan with its control panel:

hXXp://justnewleft.ru/list.php?c=D4CC5384AF198428FA1DAB838ECB6DBCEC750C370125933A3B021A4F2B875E67437D0E137007721CA2DB5AC086C3795BEF159067CFB62273A9DD

At that time the domain were located at IP 122.224.5.167. IP belonging to the ISP Ninbo-LANZHONG-LTD of China

Once accessed at control panel that commands full botnet network most of zombie machines could be seen that the infected users were from Asian countries mostly.



Malware propagation started by visiting the infection vector :

hxxp :/ / justnewleft.ru: 888/build.sub.php ---->

That redirected user navigation to the malicious Iframe:

iframe src = "hxxp :/ / build.j-loader.com: 88 /" frameborder = "0" height = "600" width = "100%" scrolling = "auto"

From this Panel criminals could configure a battery of downloading malware on the infected machine according to the desired parameters:

Control Panel has other features of command & control over the victim's machine, such as capturing user's confidential data by using a control keylooger and Logs section (LOG VIEWER). It can also control and modify the DNS records on the infected computer to perform pharming attacks (DNS HIJACK)



Below is showed files structure of the Kit of the Control Panel of this Botnet JACK LOADER:


Subsequently, the botnet has been migrated to other sites hosted in China but keeping all the same structure of control and Infection:

Other address where it was hosted and actually inactive was:

hXXp://w.nucleardiscover.com:888/list.php?c=B4AC885F94224AE64DAAC6EE0346C213D049B58E0B3969C0DCE4CA8D5FF5F6CFDFE10E13F3845D3386FFC45E0D4897B5778D4CBB9FE6A5FF432C

The domain nucleardiscover.com were hosted as IP 60.190.223.60 belongs to same provider LANZHONG Ninbo-LTD of China

At present this threat is active again, appearing with a new name called SUPER LOADER as observed in the control panel access screen:




This new version is located in the domain zhongmail.com hosted at IP 210.83.81.173 belonging Xiangrong-Technological provider in China.

Trojan connection vector that communicates with botnet main server and receives orders is

hXXp://zhongmail.com:888/list.php?c=B4AC885F94224AE64DAAC6EE0346C213D049B58E0B2869F1DCE8CA835FF2F6D9DFE10E13F3845D3386FFC45E0D4897B5778D4CBB9FE6A5FF432C&v=2&t=0.2545435

Malicious Control Panel is reachable also at URL:

hXXp :/ / 210.83.81.173:888 /

This new fraudulent server has control of all IP addresses that visits the Panel, blocking them if is detected anomalous activity.

You can get more information from the threat of page Threat experts:

http://www.threatexpert.com/report.aspx?md5=e18cfb9da7037bc641a4173575b13f16

still is possible to download the binaries that initiate infection from the actives address:

hXXp://122.224.18.20:88/ttbb.txt


hXXp://122.224.18.20:88/sbjb.txt

hXXp://122.224.18.20:88/a8.txt

hXXp://122.224.18.20:88/tn.txt

This all .Txt files are in reality malicious binaries that infect user's computer

martes, 8 de mayo de 2012

Botnet de origen Chino: Jack Loader y Super Loader


Esta apareciendo en la escena del ciber-crimen una nueva generación de botnets de origen Chino bastantes avanzados y que se están propagando de manera silenciosa infectando miles de ordenadores personales , principalmente de usuarios asiáticos , recopilando información de los usuarios infectados durante bastante tiempo hasta que son desactivados.

El primero de estos botnets que fue detectado recibe el nombre de JACK LOADER tal como mostraba su Panel de Control alojado en el dominio justnewleft.ru




Los primeros indicios de esta red zombi se remontan casi a finales de 2010.

Sobre estas fechas ya se tenía noticias de esta amenaza en el portal Threat Experts

http://www.threatexpert.com/report.aspx?md5=2c663f625c64dba6ce117097aefba658

Se observa la cadena de conexión del troyano con el panel de control:

hXXp://justnewleft.ru/list.php?c=D4CC5384AF198428FA1DAB838ECB6DBCEC750C370125933A3B021A4F2B875E67437D0E137007721CA2DB5AC086C3795BEF159067CFB62273A9DD

En aquellas fechas el dominio estaba alojado en la IP 122.224.5.167 perteneciente al proveedor NINBO-LANZHONG-LTD de China

Una vez que se accedía al panel de Control que contralaba toda la red de botnets o máquinas zombies se podía observar como la gran mayoría de usuarios infectados pertenecían a Paises del continente asiatico.



La infección se producía mediante el vector de descarga de Malware:

hXXp:// justnewleft.ru:888/build.sub.php ---->

Que redirigía al usuario mediante el Iframe malicioso:

iframe src="hXXp://build.j-loader.com:88/" frameborder="0" height="600" width="100%" scrolling="auto">

Desde el Panel de Control se podía configurar toda una batería de descarga de malware en la máquina infectada según los parámetros deseados:


El Panel de Control posee otras funcionalidades de control sobre la máquina de la victima, como la captura de los datos confidenciales del usuario mediante keylooger y controlarlos mediante un apartado de Logs (LOG VIEWER ) . También es capaz de controlar y modificar las tablas DNS del equipo infectado y realizar ataques por pharming (DNS HIJACK )



A continuación se muestra la estructura del Kit del Panel de Control del Botnet JACK LOADER:


Posteriormente la red de botnets se ha ido migrando a otras direcciones alojadas en China pero conservando la misma estructura de Infección:

Otra dirección ya inactiva donde estaba alojado fue:

hXXp://w.nucleardiscover.com:888/list.php?c=B4AC885F94224AE64DAAC6EE0346C213D049B58E0B3969C0DCE4CA8D5FF5F6CFDFE10E13F3845D3386FFC45E0D4897B5778D4CBB9FE6A5FF432C

El dominio nucleardiscover.com estaba alojado en la IP 60.190.223.60 perteneciente al mismo proveedor NINBO-LANZHONG-LTD de China

Actualmente la amaneza vuelve a estar activa , apareciendo con un nuevo nombre llamado SUPER LOADER tal como se observa en el panel de Control:



Esta nueva versión esta alojada en el dominio zhongmail.com alojado en la IP 210.83.81.173 perteneciente al proveedor xiangrong-technological de China.

La cadena de conexión del troyano con la que se comunica y recibe ordenes del Servidor principal es:

hXXp://zhongmail.com:888/list.php?c=B4AC885F94224AE64DAAC6EE0346C213D049B58E0B2869F1DCE8CA835FF2F6D9DFE10E13F3845D3386FFC45E0D4897B5778D4CBB9FE6A5FF432C&v=2&t=0.2545435

También se puede visitar el Panel de Control mediante la URL:

hXXp://210.83.81.173:888/

El servidor controla las direcciones IP desde las que se visita el Panel , bloqueandolas si detecta actividad anomala.

Se puede obtener más información de la amenaza de la pagina de Threat experts:

http://www.threatexpert.com/report.aspx?md5=e18cfb9da7037bc641a4173575b13f16

Todavía se pueden descargar los binarios que inician la infección desde las direcciones operativas:

hXXp://122.224.18.20:88/ttbb.txt
hXXp://122.224.18.20:88/sbjb.txt

hXXp://122.224.18.20:88/a8.txt

hXXp://122.224.18.20:88/tn.txt

Aunque aparezcan con la extensión .txt dichos ficheros son los binarios maliciosos que infectan el equipo del usuario