martes, 8 de mayo de 2012

Botnet de origen Chino: Jack Loader y Super Loader


Esta apareciendo en la escena del ciber-crimen una nueva generación de botnets de origen Chino bastantes avanzados y que se están propagando de manera silenciosa infectando miles de ordenadores personales , principalmente de usuarios asiáticos , recopilando información de los usuarios infectados durante bastante tiempo hasta que son desactivados.

El primero de estos botnets que fue detectado recibe el nombre de JACK LOADER tal como mostraba su Panel de Control alojado en el dominio justnewleft.ru




Los primeros indicios de esta red zombi se remontan casi a finales de 2010.

Sobre estas fechas ya se tenía noticias de esta amenaza en el portal Threat Experts

http://www.threatexpert.com/report.aspx?md5=2c663f625c64dba6ce117097aefba658

Se observa la cadena de conexión del troyano con el panel de control:

hXXp://justnewleft.ru/list.php?c=D4CC5384AF198428FA1DAB838ECB6DBCEC750C370125933A3B021A4F2B875E67437D0E137007721CA2DB5AC086C3795BEF159067CFB62273A9DD

En aquellas fechas el dominio estaba alojado en la IP 122.224.5.167 perteneciente al proveedor NINBO-LANZHONG-LTD de China

Una vez que se accedía al panel de Control que contralaba toda la red de botnets o máquinas zombies se podía observar como la gran mayoría de usuarios infectados pertenecían a Paises del continente asiatico.



La infección se producía mediante el vector de descarga de Malware:

hXXp:// justnewleft.ru:888/build.sub.php ---->

Que redirigía al usuario mediante el Iframe malicioso:

iframe src="hXXp://build.j-loader.com:88/" frameborder="0" height="600" width="100%" scrolling="auto">

Desde el Panel de Control se podía configurar toda una batería de descarga de malware en la máquina infectada según los parámetros deseados:


El Panel de Control posee otras funcionalidades de control sobre la máquina de la victima, como la captura de los datos confidenciales del usuario mediante keylooger y controlarlos mediante un apartado de Logs (LOG VIEWER ) . También es capaz de controlar y modificar las tablas DNS del equipo infectado y realizar ataques por pharming (DNS HIJACK )



A continuación se muestra la estructura del Kit del Panel de Control del Botnet JACK LOADER:


Posteriormente la red de botnets se ha ido migrando a otras direcciones alojadas en China pero conservando la misma estructura de Infección:

Otra dirección ya inactiva donde estaba alojado fue:

hXXp://w.nucleardiscover.com:888/list.php?c=B4AC885F94224AE64DAAC6EE0346C213D049B58E0B3969C0DCE4CA8D5FF5F6CFDFE10E13F3845D3386FFC45E0D4897B5778D4CBB9FE6A5FF432C

El dominio nucleardiscover.com estaba alojado en la IP 60.190.223.60 perteneciente al mismo proveedor NINBO-LANZHONG-LTD de China

Actualmente la amaneza vuelve a estar activa , apareciendo con un nuevo nombre llamado SUPER LOADER tal como se observa en el panel de Control:



Esta nueva versión esta alojada en el dominio zhongmail.com alojado en la IP 210.83.81.173 perteneciente al proveedor xiangrong-technological de China.

La cadena de conexión del troyano con la que se comunica y recibe ordenes del Servidor principal es:

hXXp://zhongmail.com:888/list.php?c=B4AC885F94224AE64DAAC6EE0346C213D049B58E0B2869F1DCE8CA835FF2F6D9DFE10E13F3845D3386FFC45E0D4897B5778D4CBB9FE6A5FF432C&v=2&t=0.2545435

También se puede visitar el Panel de Control mediante la URL:

hXXp://210.83.81.173:888/

El servidor controla las direcciones IP desde las que se visita el Panel , bloqueandolas si detecta actividad anomala.

Se puede obtener más información de la amenaza de la pagina de Threat experts:

http://www.threatexpert.com/report.aspx?md5=e18cfb9da7037bc641a4173575b13f16

Todavía se pueden descargar los binarios que inician la infección desde las direcciones operativas:

hXXp://122.224.18.20:88/ttbb.txt
hXXp://122.224.18.20:88/sbjb.txt

hXXp://122.224.18.20:88/a8.txt

hXXp://122.224.18.20:88/tn.txt

Aunque aparezcan con la extensión .txt dichos ficheros son los binarios maliciosos que infectan el equipo del usuario

No hay comentarios:

Publicar un comentario en la entrada

Nota: solo los miembros de este blog pueden publicar comentarios.