martes, 30 de octubre de 2012

Control Panel for data mining information from repositories of banker Zeus Troyans

It has been found a new Control Panel focus to query and extract data from repositories of banker Troyans Zeus family and its variants. Like a data mining application is able to connect to different databases repositories that store data stolen by Troyans and search required data using regular expressions.


Access to the Control Panel shows the next information.

This method provides the advantage to criminals of being directly connected to remote databases that contain confidential information from compromised users without having to access the Control Panels where hosted data repositories are. Queries are performed directly on the databases without having to interfere at any time with the operation of the control panel that manages all botnets or zombie machines.

Of this way criminals also avoid leaving traces in web servers every time they have to perform some operation on the captured data leaving no traces in the log files of the web server.

Connection to the databases from Troyan Control Panel is quite simple.


In the Control Panel settings is configure the connection strings of database where the troyan’s repository is stored and Troyan class which wants to extract the information to analysis and process.

Troyan clasees with the application works are: Carbep, Citadel, Ice9, SpyEye, Zeus 1.1 Zeus 1.2 & Zeus2.

All these Troyans are different in their performance but retain many similarities in the manner in which the stolen information is stored in its databases and this Control Panel tools able to adapt to the structure of each Troyan database.

The data search engine in repositories is based on the powerful capacity of regular expressions, This seach engine is visible at next screen.



In this example created by default in the control panel, you can see the regular expression that should be used to locate at Troyan data repository all stolen access credentials that comply the defined format "user/ password" for accessing the legitimate websites of Paypal and Ebay

These regular expressions allow to search at full Troyan database robbed data users by defining variables names of stored passwords or any data that wish to find

With regular expressions is possible to define any text searchable format, such as email addresses, dates, passport numbers, social security numbers, etc. The possibilities are endless.

Is possible even to create search templates and store it for future actions.

The search engine also allows multiples search options, like searching by zombie machines IDs, URLs and even post data captured by users mails headers.

There is even an automated module for searching confidential information of credit cards, in this module you can specify search key fields as the CVV code of the credit card or using the Luhn algorithm.

The Luhn algorithm or "algorithm module 10" is a formula checksum used to validate the identification numbers of credit cards.

lunes, 29 de octubre de 2012

Panel de extracción de datos de repositorios Troyanos bancarios ZEUS

Se ha localizado un nuevo Panel de Control orientado para la consulta y extracción de datos de los repositorios de los troyanos bancarios de la familia Zeus y sus variantes. Como si se tratará de una aplicación de minería de datos es capaz de conectarse a diferentes bases de datos que utilizan como repositorios de datos robados los troyanos y realizar búsquedas mediante expresiones regulares de los datos deseados.


El acceso al Panel de Control muestra la siguiente información.

Este sistema proporciona directamente la ventaja de poderse conectar en remoto contra las bases de datos que contienen toda la información confidencial de los usuarios comprometidos sin tener que acceder a los Paneles de Control donde están alojados los repositorios de datos. Se realizan consultas directamente sobre las bases de datos sin tener que interferir en ningún momento con el funcionamiento del Panel de Control que maneja todos los Botnets o máquinas zombis.

De esta manera los criminales también evitan dejar rastros en los servidores webs cada vez que tengan que realizar alguna operación sobre los datos capturados no dejando trazas en los ficheros de logs del servidor web.

La conexión con las bases de datos del Panel de Control del troyano es bastante sencilla:

En las opciones de configuración del Panel de Control se le indica las cadenas de conexión de la base de Datos donde esta almacenado el repositorio del troyano así como el tipo del troyano del cual se quiere extraer la información para analizarla y procesarla.

Los tipos de Troyano con los que trabaja la aplicación son: Carbep , Citadel , ICE9, SpyEye , Zeus 1.1 , Zeus 1.2 , Zeus2.

Todos estos troyanos son diferentes en su funcionamiento pero guardan bastantes similitudes en la forma en la que almacenan la información robada en la base de datos y la herramienta es capaz de adaptarse a la estructura de cada base de datos de dichos troyanos.

El motor de búsqueda de datos en los repositorios está basado en la potencia de las expresiones regulares tal como se observa:

En este ejemplo que aparece creado por defecto en el panel de control, se observa la expresión regular que se debería emplear para localizar en el repositorio de datos del troyano todas las credenciales de acceso robadas que cumplan el formato definido usuario / password para acceder a los sitios Webs de Paypal y Ebay

Estas expresiones regulares permiten buscar en toda la base de datos del troyano los datos confidenciales de los usuarios mediante la definición de los nombres de variables que almacenan las contraseñas o cualquier dato comprometido que se deseen localizar

Con las expresiones regulares se puede definir cualquier formato de búsqueda de texto , como pueden ser direcciones de correo electrónico , fechas , números de pasaporte , de la seguridad social , etc . Las posibilidades son innumerables.

Se pude crear incluso plantillas de búsqueda y almacenarla para acciones futuras.

El motor de búsqueda también permite opciones de búsqueda por identificadores de las máquinas zombies , direcciones de URL e incluso datos de los correos capturados por las cabeceras en los usuarios comprometidos.

Dispone un modulo automatizado para realizar búsqueda de datos de las tarjetas de crédito, en el que se le puede indicar campos clave de búsqueda como el código CVV de las tarjetas de crédito o el empleo del algoritmo Luhn.

El algoritmo de Luhn o "algoritmo de módulo 10", es una fórmula de suma de verificación utilizado para validar números de identificación de las tarjetas de crédito.


miércoles, 17 de octubre de 2012

Troyano SPYEYE contra Latinoamerica


En la misma infraestructura fraudulenta que estaba alojado el dominio “cybercartel.com.mx” analizado en el articulo anterior también aparece instalado el panel de control del troyano SPYEYE estando totalmente operativo y recolectando datos de los usuarios infectados.

Esta instalado el kit completo del troyano Spyeye , tanto el modulo dedicado al control de bots y propagación de Malware , como el modulo de gestión y control de los datos capturados en los equipos comprometidos.

Se observa como el Panel de Control de los bots o máquinas zombies continua estando activo y enviando ordenes a los equipos infectados:



















Hasta el momento del análisis el Panel controlaba 1185 equipos infectados. Estos equipos pertenecen únicamente a usuarios que habitan en Argentina , Bolivia , Chile y Mexico, debido a que, como se vio en el articulo anterior, el servidor donde esta montada toda la infraestructura criminal esta configurada para rechazar las conexiones de usuarios que no pertenecen a los países antes citados mediante el control de accesos que realiza en el archivo .htaccess.
  











En las opciones del Panel de Control se puede configurar diferentes plugins con sus funciones especificas para el control de los equipos zombies y la captura de datos confidenciales en las victimas.

 


El otro modulo que viene acompañado casi siempre en el Panel del Spyeye esta dedicado a la gestión de los datos capturados por el troyano en las máquinas infectadas.

El Panel de control de este modulo presenta el siguiente aspecto:



















Este Modulo dispone de una gran variedad de opciones para capturar todo tipo de datos e información en los equipos infectados , como puede ser las credenciales de acceso a servidores FTP , certificados del cliente , pantallazos del equipo de la victima, datos de las tarjetas de crédito. Así como la gestión y búsqueda de información confidencial en los repositorios de logs de las victimas:

 

Uno de los plugins que tiene activos es el CC Grabber cuya misión consiste en buscar entre todos los Logs recolectados por el troyano los códigos de numeración de las tarjetas de créditos, así como los datos confidenciales necesarios para operar con ellas como el CVV y fecha de caducidad de la tarjeta.

Cada vez que un usuario infectado por el troyano Spyeye realiza una compra en algún comercio electrónico de Internet , todos los datos confidenciales de su tarjeta de crédito que introduzca en dicho comercio van a ser capturados por el troyano y enviados al servidor fraudulento donde esta instalado el Panel de Control. Debido a que el troyano tiene capacidad para capturar todos los datos que se envíen mediante el método POST del protocolo http antes de que sean cifrados por el navegador del usuario.

El plugín funciona como una pequeña aplicación de minería de datos capaz de reconocer la numeración de 16 dígitos de la tarjeta de crédito y sus datos asociados y almacenarlos para que posteriormente sean usados por los criminales para la realización de fraudes con dicha tarjeta del cliente.

Aquí se observa como se han capturado los datos de una tarjeta de crédito en una transacción comercial por Internet:
  

En la infraestructura del mismo servidor fraudulento se ha localizado también el kit de propagación de Malware “UMBRA LOADER


Este kit de infección todavía no ha comenzado la campaña de propagación de Malware, estando prácticamente inactivo.



miércoles, 10 de octubre de 2012

Detected attack to evade OTP authentication devices in Latin American Financial Institutions


Has been discovered a criminal website infrastructure prepared to evade the OTP (One Time Password) authentication mechanisms used at Latin American electronic banking institutions with fraudulent purposes.

This site is hosted in the malicious domain "cybercartel.com.mx" that is hosted at the IP 65.254.32.66 in USA.

Criminals have just targeted its attack against customers of banks in Argentina, Bolivia, Chile and Mexico in a very practical way that is blocking access to the fraudulent server from any IP address that is not in the IP range of ISPs operating in those countries.

Criminals have modified the .htaccess  Apache server file defining a list of alloweds IP ranges to access, and any attempt to access from an IP not allowed will return a 403 Forbidden error as seen in the screenshot:



With this method criminals manage to get several objectives. On one hand they get a high number of positive impacts of infected users in focused countries, reducing server load and also rejecting connections of not interesting users and deny access to most of companies of Antivirus and Computer Security and also police forces of other countries seeking to investigate malicious content at fraudulent server.

The .htaccess file has the following format:


  
Have been removed the remaining lines of access IP ranges due to the large number of them.

In the following paragraphs we will explain how to perform the attack to avoid OTP authentication mechanisms of the electronic banking financial institutions affected.

The process for conducting fraudulent transactions by criminals is synthesized in the following steps:

1 - User's computer is infected with a banking Troyan.
2 - Troyan begins to capture all credentials and passwords of sites accessed by the user with classical keylogging  techniques .
3 - When user access its banks account in Internet the Troyan is activated and start to take control of user navigation.
4 - At that moment Troyan sends an alert via Jabber messenger to a criminal fraudster who is operating in remote and that will make an illegitimate transfer order accessing in parallel to the bank account of the user with the credentials captured by the keylogger before
5 - When the banking application requests to criminal the OTP operations keys or any other password needed to validate the fraudulent transfer, criminal send a command to the infected user's computer asking to enter this OTP.
6 - Troyan will process this command displaying a window on the user's navigation, requesting the actual OTP key and user will type in usually thinking that is a normal checking operation of its electronic bank.
7 - The typed OTP code is captured by the Troyan from the infected computer and sent back to criminal via Jabber
8 - The criminal type this code in the session that started before validating the fraud transfer, ending operation with complete success.


Here is taught in absolute novelty one of these control panels with which criminals operate to perform the attack to evade the OTP (One Time Password) validation systems





It is noted how  operator connects remotely and receive information in real time with sensitive data from the victim and when he will start the fraud process will request the necessary key data using the following menu commands:



Criminals can even send commands to blocks the electronic banking account of legitimate user to prevent access once the fraud has been realized.

Also at the same malicious server infrastructure has been located an Control Panel of the old ZEUS banker troyan fully active and operational, collecting confidential data from infected victims.


 It is visible in this statistical panel of ZEUS Troyan the high hit rate of infected users belonging to countries that was focused the fraud.


Below there is a small sample of the confidential data captured by the keylogger of the troyan in the infected user machines.





lunes, 8 de octubre de 2012

Ataque contra los dispositivos OTP en entidades Latinas



Ha sido descubierto la infraestructura criminal de un sitio Web preparado para evadir los mecanismos de autenticación OTP ( One Time Password ) o Contraseña de un solo uso de la banca electrónica de entidades Latinas con fines fraudulentos

Este sitio esta hospedado en el dominio cybercartel.com.mx que esta alojado en la IP 65.254.32.66 de USA

Los criminales han dirigido su ataque únicamente contra los clientes de las entidades bancarias de Argentina, Bolivia , Chile y Mexico de una manera bastante practica que consiste en bloquear los accesos al servidor de cualquier dirección IP que no pertenezca al rango IP de los proveedores ISP de dichos países.

Para ello han creado en el archivo  .htaccess del servidor apache una lista de rangos permitidos. Cualquier acceso desde una IP no permitida devolverá al usuario un error 403 Forbidden tal como se observa en la captura:



Con este método los criminales logran varios objetivos. Por un lado lograr un alto número de impactos positivos de usuarios infectados de estos países, reduciendo también la carga del servidor rechazando las conexiones de usuarios que no interesan y sobre todo denegar el acceso de las compañías de Seguridad Informáticas y Antivirus, así Cuerpos policiales de otros países que intenten investigar que almacena dicho servidor.

El archivo .htaccess tiene el siguiente formato:
















Se ha eliminado el resto de líneas de rangos IP de acceso debido al gran número de ellas.

A continuación vamos a explicar en este artículo como se realiza el ataque contra los mecanismos de autenticación OTP de la banca electrónica de las entidades financieras afectadas:

El proceso de la realización del fraude por los criminales se sintetiza en los siguientes pasos:


1.      El equipo del usuario se infecta con el troyano bancario.
2.      El troyano empieza a capturar de forma silenciosa mediante técnicas keylogger clásicas todas las contraseñas y passwords de los sitios a los que accede el usuario.
3.      Cuando el usuario accede a su Banca electrónica mediante el navegador, el troyano se activa y pasa a tomar el control de la navegación del usuario.
4.      En eso instante el troyano envía un aviso mediante mensajería Jabber a un criminal que esta operando en remoto y que va a crear una orden de transferencia fraudulenta accediendo en paralelo a la cuenta de la banca del usuario con las contraseñas antes capturadas por el keylogger.
5.      Cuando la aplicación de banca solicite al criminal las claves OTP o cualquier otra clave necesaria para validar la transferencia el criminal enviara una orden al equipo del usuario infectado solicitando que introduzca este OTP.
6.      Esta orden mostrará una ventana en la navegación del usuario solicitando la clave OTP autentica y que normalmente el usuario teclea al pensar que es una operativa habitual de su banca.
7.      El código introducido es capturado por el troyano del equipo infectado y enviado también por Jabber al criminal
8.      El criminal lo introduce en la sesión de banca que ha iniciado validando la transferencia y finalizando el fraude con total éxito.


A continuación se muestra en primicia uno de estos Paneles de Control con los que operan los criminales para realizar el ataque contra los sistemas de validación OTP - ( One Time Password ):


Se observa como el operador que se conecta en remoto recibe toda la información en tiempo real de los datos confidenciales de la victima y  cuando inicia el proceso de fraude va solicitando los datos necesarios mediante el siguiente menú de ordenes:

Incluso puede enviar órdenes de bloqueo de la cuenta de banca electrónica del usuario para que no puede volver a acceder una vez realizado el fraude y no se percate del mismo.



En la misma infraestructura del servidor fraudulento se ha localizado también un Panel de Control del viejo troyano bancario ZEUS totalmente operativo y activo, recopilando datos confidenciales de las victimas infectadas:



Se observa en este panel estadístico del troyano ZEUS la alta tasa de acierto de los usuarios infectados pertenecientes a los países contra los que estaba enfocado el fraude.

A continuación se presenta una muestra muy reducida de la captura de datos confidenciales que realiza el keylogger del troyano en los equipos de los usuarios infectados.