viernes, 31 de agosto de 2012

TROYANO BANCARIO CITADEL


El troyano Citadel  es una evolución de la conocida familia de troyanos bancarios ZEUS. Sus creadores han aprovechado las antiguas características de los troyanos Zeus añadiendo nuevas funcionalidades para sus fine criminales. Como son la captura de videos en los equipos comprometidos ( Util para visualizar la acción del usuario con los teclados virtuales) , el envio de credenciales de acceso robadas mediante la aplicación de mensajería electrónica Jabber , etc.

Se ha localizado la infraestructura de una de estas variantes del troyano Citadel alojado en el dominio helikopterz1922.in que resuelve la IP 194.1.184.74 perteneciente al proveedor  PROVITEX de Rusia.

El vector de infección del Malware se encuentra en la dirección:

 hXXp://helikopterz1922.in/xoiajcss/file.php

Que descarga el binario malicioso:

hXXp://helikopterz1922.in/xoiajcss/files/tomat.exe

Y también descarga la configuración del troyano Citadel desde la dirección:

hXXp://helikopterz1922.in/xoiajcss/files/tomatconfig.bin

Se ha analizado el comportamiento del binario malicioso tomat.exe (MD5: 982e1a20030408cad318309a076a6539) con los siguientes resultados:
En el equipo infectado crea los siguientes archivos:

%AppData%\Eqbi\tooz.exe
%AppData%\Naosif\iwox.mik
%AppData%\Naosif\iwox.tmp
%AppData%\Neep\xidi.yvr
%Temp%\tmp20ae17ad.bat

Además de modificar los registros del sistema crea el siguiente Mutex para marcar su presencia en el equipo comprometido: Local\{CA7FD20C-31FB-4F90-B762-F45413F09EC3}

El panel de control de acceso a al servidor se encuentra en la URL

hXXp://helikopterz1922.in/xoiajcss/cp.php?m=login

Tal como se muestra en la pantalla siguiente:


En la infraestructura del panel de Control también tienen instalado el Panel  “VncFox 2012 - Citadel Software” que se trata de un Panel de control de los equipos infectados Botnets mediante la aplicación VNC tomando el control remoto total de los equipos comprometidos accediendo a su escritorio.

El panel de control VNC se accede mediante la URL:

hXXp:// helikopterz1922.in/xoiajcss/vnc/admin.php 



INYECCION DE IFRAMES MALICIOSOS

En la misma infraestructura del servidor de este Malware se ha localizado otro panel de Control diferente del Citadel preparado para inyectar Iframes maliciosos en los servidores Webs cuyas credenciales de acceso han sido capturadas por el troyano.

Este Panel de Control del citadel esta localizado en la dirección:

hXXp://helikopterz1922.in/zaqiryt/cp.php?m=login




Citadel aprovecha una antigua funcionalidad del conocido troyano Zeus que capturaba  automáticamente las credenciales de acceso a cualquier servidor FTP que eran utilizadas en la máquina comprometida.
Con estas credenciales el Panel del Citadel es capaz de conectarse mediante FTP a dichos servidores para realizar una búsqueda  recursiva de las carpetas publicas *www*',  'public*', 'domain*', '*host*', 'ht*docs', '*site*','*web*', donde se alojan las páginas webs para rastrear los archivos que tengan nombre o extensiones del tipo 'index.*','*.js','*.htm*', e inyectar dentro de su código el iframe malicioso que tenga configurada para la descarga de Malware.
'< I F R A M E src="hXXp://example.com/" width=1 height=1 style="visibility: hidden">
',
Así pues estos servidores Webs serán modificados para que cada vez que sean visitados por algún cliente sea redireccionada la navegación del usuario hacia el Iframe malicioso y se inicie la infección en su equipo.
A continuación se muestra como la configuración del troyano Citadel para que realice la inyección del iframe malicioso deseado



No hay comentarios:

Publicar un comentario en la entrada

Nota: solo los miembros de este blog pueden publicar comentarios.