VoIP and Hacking | Consulenza Documentazione

Ancora sullo spam di Rodkin

by admin on Apr.14, 2010, under Sicurezza, Spam

L’inossidabile spammer Maksim Rodkin ha di recente aggiornato drasticamente il proprio portfolio di domini legati al “money mule recruitment”, registrandone di nuovi.
Molti dei domini utilizzati finora, pur risultando ancora attivi, non sono più utilizzabili, e per un motivo molto semplice:

Tutti quelli ospitati, ad esempio international-es.com, dall’ AS 50033 (GROUP 3 LLC), perché quest’ultimo (una vera e propria associazione a delinquere) non risulta più annunciato nella tabella globale BGP, risultando di fatto escluso dalla Internet globale.

Analogo discorso per quelli che risultavano ospitati dall’ AS 49365 (GROUP VERTICAL - 91.212.220.0/24), altra associazione a delinquere russa.

La stessa sorte sembra essere capitata all’infame AS 29371 (LLC “Gaztransitstroyinfo”) 91.212.41.0/24, la falsa “gas company” russa il cui motto è “in gaz we trust”, famigerata distributrice di malware.

Pertanto, alla data odierna sembrerebbero operativi, per il povero Rodkin, solamente i seguenti domini:

AS34840 (TETRACOM), Russia - 193.148.47.0/24
new-web-pr.net          193.148.47.55    Creato il: 2010-03-28

AS196644 (FASTMEDIA), Latvia - 188.130.250.0/24
west-eur.net            188.130.250.251  Creato il: 2009-10-21

AS2122 (PIOGLOBAL Asset Management), Russia - 193.46.211.0/24
best-union-web.com      193.46.211.68    Creato il: 2010-04-07
central-es-it.com       193.46.211.68    Creato il: 2010-04-08
es-itech.net            193.46.211.68    Creato il: 2010-03-31
es-syst.com             193.46.211.68    Creato il: 2010-03-28
europen-consalt.net     193.46.211.68    Creato il: 2010-04-01
europen-un.com          193.46.211.68    Creato il: 2010-04-06
europen-web.net         193.46.211.68    Creato il: 2010-03-31
france-it.com           193.46.211.68    Creato il: 2010-04-05
fr-syst.net             193.46.211.68    Creato il: 2010-04-02
inter-west.net          193.46.211.68    Creato il: 2010-04-11
union-eur.net           193.46.211.68    Creato il: 2010-04-06
us-consalt.com          193.46.211.68    Creato il: 2010-04-02
us-systems-net.com      193.46.211.68    Creato il: 2010-03-28
web-es-sys.com          193.46.211.68    Creato il: 2010-03-28
web-sys-it.net          193.46.211.68    Creato il: 2010-03-28
west-europen.net        193.46.211.68    Creato il: 2010-04-07
web-itsystems.net       193.46.211.68    Creato il: 2010-03-28
w-unions.com            193.46.211.68    Creato il: 2010-04-08

Di conseguenza l’elenco aggiornato degli indirizzi di ritorno per il money mule recruitment risulta alquanto ridotto nel numero.

Prima di proseguire vorrei fare una precisazione: non ho alcuna questione personale contro il signor Rodkin, come erroneamente si potrebbe dedurre dal fatto che la sua attività truffaldina abbia costituito argomento di diversi post.
Il semplice motivo per cui ciò è capitato dipende solamente dal fatto che il suo caso rappresenta un ottimo esempio di come funziona il moderno spam, nell’ambito del quale i fastidiosi messaggi inviati da simili personaggi rappresentano solo la fase finale di una operazione criminale molto più articolata di quanto si potrebbe supporre.

Una ulteriore analisi evidenzia infatti che negli stessi netblock ove risiedono i siti per il reclutamento dei “money mules” coesistono domini utilizzati per la distribuzione di ZeuS-crimeware.

Prendiamo in esame alcuni degli AS citati:

AS34840 (TETRACOM):
Diversi ZeuS C&Cs sono ospitati da questo AS, che inoltre distribuisce differenti malware, normalmente specializzati nella cattura di credenziali bancarie.

Alcuni esemplari sono normalmente ottenibili attraverso wget senza neppure dover simulare che la richiesta provenga da uno specifico user-agent:


# wget -vvv 193.148.47.43/bin/ahwohn.exe
--2010-04-11 15:30:54--  http://193.148.47.43/bin/ahwohn.exe
Connecting to 193.148.47.43:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 133632 (130K) [application/octet-stream]
Saving to: `ahwohn.exe’

100%[======================================>] 133,632      101K/s   in 1.3s

2010-04-11 15:30:56 (101 KB/s) - `ahwohn.exe' saved [133632/133632]

Questo malware (zeus/wsnpoem v2 trojan) colleziona i dati relativi alle richieste POST (il corpo delle richieste POST, che contiene le credenziali di login) e periodicamente le invia (criptate) con una propria richiesta HTTP ad un sito di raccolta (drop site). Il codice del malware iniettato all’interno di un processo Internet Explorer modifica la famiglia di funzioni GetMessage/PeekMessage.
Questo gli permette di monitorare tutti i messaggi in ingresso verso Internet Explorer. Nella fattispecie sembra che collezioni in tal modo le sequenze di tasti.
Le sequenze vengono aggiunte ad un buffer di 100 bytes, il cui contenuto viene periodicamente trasmesso ad un drop site.

altri esempi:

193.148.47.43/bin/ahgihe.exe (altra variante di zeus v2 trojan )
193.148.47.43/bin/faevon.exe (Trojan.Zbot!gen3)

Limitandosi agli aspetti meramente funzionali, il funzionamento di una botnet ZeuS non è molto complicato. Sebbene faccia uso di tecniche di criptazione piuttosto complesse, comprenderne le funzionalità è relativamente semplice. Si compone infatti di tre componenti fondamentali:

    1. Un Trojan ZeuS
    2. Un file di configurazione ZeuS
    3. Uno ZeuS drop site al quale le credenziali catturate vengono successivamente inviate.

Una volta che il Trojan ZeuS sia andato in esecuzione, scarica il proprio file di configurazione da una locazione predeterminata e quindi attende che la vittima effettui un login verso un target definito nel proprio file di configurazione, che di solito comprende un certo numero di istituti bancari con le relative URLs di login.

La lista di queste URL di online banking possono essere euristicamente identificate, ad esempio:

https://www.gruposantander.es
https://ww3.deutsche-bank.es
https://www.barclays.es
https://meine.deutsche-bank.de
https://www.commerzbanking.de
https://www.dresdner-privat.de

Dato che “money mules” sono necessari in qualsiasi nazione dove si trovino dati bancari compromessi, e data la presenza di spam di reclutamento indirizzato ad utenti italiani, ne consegue ovviamente che nei file di configurazione delle macchine italiane compromesse da ZeuS vi siano le URL di istituti bancari italiani.

L’ AS2122 PIOGLOBAL è altrettanto facilmente identificabile come distributore di malware:

Ad esempio tramite un semplice:

# wget -v -d -U "Mozilla/5.0 (compatible; MSIE 4.01; Windows NT 5.0)" vxoyqgcp.cn/el245/viewtop.php?spl=mdac
# md5sum viewtop.php\?spl\=mdac
e708f0e71fac22c052163811139eabc3 md5sum viewtop.php\?spl\=mdac

(dove il dominio vxoyqgcp.cn è ospitato sull’ IP 193.46.211.57 dello stesso AS), si ottiene il download di un eseguibile PE32 per MS Windows (Intel 80386 32-bit), che una volta esaminato grazie al servizio offerto da ThreatExpert, evidenzia le caratteristiche proprie di Bredolab, un trojan horse complementare a ZeuS, che consente alle organizzazioni cybercriminali di rilasciare qualsiasi tipo di software sui pc delle sue vittime.

Un esempio recente di abbinamento ZeuS-Bredolab è rappresentato dalla massiccia campagna di spam, occorsa nel 2009, e che utilizzava falsi messaggi email UPS. I messaggi email sembravano provenire dal legittimo corriere e notificavano alle potenziali vittime l’arrivo di pacchi loro destinati, invitandole ad aprire la fattura allegata.
L’apertura dell’allegato fasullo, ovviamente, mandava in esecuzione una variante di Bredolab che infettava il sistema vittima. Il trojan quindi procedeva sia all’installazione di ZeuS che di un falso antivirus.

Send post as PDF to PDF | PDF Creator | PDF Converter
:, , , , , ,

Comments are closed.

Cerchi qualcosa in particolare?

Usa il form qui sotto per cercare nel sito:

Blogroll!

Alcuni links...

Archives

Tutte le entries, in ordine cronologio...