Una vez que se ha accedido a este Panel de Control aparece el menú con todas las opciones disponibles observándose que ha sido diseñado para capturar todo tipo de credenciales de acceso de las aplicaciones de los usuarios infectados así como de los sitios de Internet a los que accede.
Se trata de un potente Malware del tipo Spy – Keylogger con funcionalidades muy peligrosas.
El troyano
Pony está configurado para capturar toda clase de información confidencial y
datos de acceso para las siguientes aplicaciones:
Contraseñas
de acceso para servidores FTP y SSH. El troyano es capaz de reconocer casi todas
las aplicaciones FTP, SSH existentes en el mercado y extraer sus credenciales:
System Info , FAR Manager , Total Commander , WS_FTP , CuteFTP , FlashFXP , FileZilla , FTP commander , BulletProof FTP , SmartFTP , TurboFTP , FFFTP , CoffeeCup FTP / Sitemapper , CoreFTP , FTP Explorer , Frigate3 FTP , SecureFX , UltraFXP , FTPRush , WebSitePublisher , BitKinex , ExpanDrive , ClassicFTP , Fling , SoftX , Directory Opus , FreeFTP / DirectFTP , LeapFTP , WinSCP , 32bit FTP , NetDrive , WebDrive , FTP Control , Opera , WiseFTP , FTP Voyager , Firefox , FireFTP , SeaMonkey , Flock , Mozilla , LeechFTP , Odin Secure FTP Expert , WinFTP , FTP Surfer , FTPGetter , ALFTP , Internet Explorer , Dreamweaver , DeluxeFTP , Google Chrome , Chromium / SRWare Iron , ChromePlus , Bromium (Yandex Chrome) , Nichrome , Comodo Dragon , RockMelt , K-Meleon , Epic , Staff-FTP , AceFTP , Global Downloader , FreshFTP , BlazeFTP , NETFile , GoFTP , 3D-FTP , Easy FTP , Xftp , FTP Now , Robo-FTP , LinasFTP , Cyberduck , Putty , Notepad++ , CoffeeCup Visual Site Designer , FTPShell , FTPInfo , NexusFile , FastStone Browser , CoolNovo , WinZip , Yandex.Internet , MyFTP , sherrod FTP , NovaFTP , Windows Mail , Windows Live Mail , Becky! , Pocomail , IncrediMail , The Bat! , Outlook , Thunderbird , FastTrack .
System Info , FAR Manager , Total Commander , WS_FTP , CuteFTP , FlashFXP , FileZilla , FTP commander , BulletProof FTP , SmartFTP , TurboFTP , FFFTP , CoffeeCup FTP / Sitemapper , CoreFTP , FTP Explorer , Frigate3 FTP , SecureFX , UltraFXP , FTPRush , WebSitePublisher , BitKinex , ExpanDrive , ClassicFTP , Fling , SoftX , Directory Opus , FreeFTP / DirectFTP , LeapFTP , WinSCP , 32bit FTP , NetDrive , WebDrive , FTP Control , Opera , WiseFTP , FTP Voyager , Firefox , FireFTP , SeaMonkey , Flock , Mozilla , LeechFTP , Odin Secure FTP Expert , WinFTP , FTP Surfer , FTPGetter , ALFTP , Internet Explorer , Dreamweaver , DeluxeFTP , Google Chrome , Chromium / SRWare Iron , ChromePlus , Bromium (Yandex Chrome) , Nichrome , Comodo Dragon , RockMelt , K-Meleon , Epic , Staff-FTP , AceFTP , Global Downloader , FreshFTP , BlazeFTP , NETFile , GoFTP , 3D-FTP , Easy FTP , Xftp , FTP Now , Robo-FTP , LinasFTP , Cyberduck , Putty , Notepad++ , CoffeeCup Visual Site Designer , FTPShell , FTPInfo , NexusFile , FastStone Browser , CoolNovo , WinZip , Yandex.Internet , MyFTP , sherrod FTP , NovaFTP , Windows Mail , Windows Live Mail , Becky! , Pocomail , IncrediMail , The Bat! , Outlook , Thunderbird , FastTrack .
La pantalla del menú de gestión del capturador FTP:
También captura
cualquier tipo de direcciones de e-mails , así como sus contraseñas de acceso ,
certificados que tenga almacenados el usuario , además de contraseñas de acceso
RDP
El panel
permite la captura de todo tipo de contraseñas de acceso a aplicaciones web
bajo HTTP y HTTPS. Dispone de un filtro muy potente para configurar las
capturas , seleccionando o excluyendo los dominios de Internet a los que el
usuario infectado acceda para empezar a capturar datos cuando se encuentre en
dichas páginas , así como cadenas de texto de captura , países de los dominios víctimas
, fechas , etc.
El panel de
seguimiento de los datos confidenciales capturados de la navegación Web de los
usuarios infectados.
Los usuarios
comprometidos por el troyano Pony están ordenados por su IP , pudiéndose seleccionar
la información recopilada para cada usuario seleccionando el perfil de la IP
deseada:
Es muy
interesante observar en el panel estadístico la cantidad de información que
puede capturar de los usuarios infectados por el troyano:
Todos los
datos capturados son cifrados y almacenados en una base de datos en MySQL para
evitar que sean robados si alguien logra acceder acceder a dicha información:
Finalmente se
presenta parte de la estructura de ficheros del KIT PONY:
Se han
localizado otras direcciones maliciosas conteniendo paneles Pony activos en:
hXXp://217.195.200.12:8080/ponyb/admin.php
hXXp://195.5.208.204:8080/ponyb/admin.php
hXXp://9jal33ts.com/ponysample/admin.php
hxxp://198.27.83.179/popo/
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.