Español | English
rss facebook linkedin Twitter

ZeuS se propaga a través de Facebook

ZeuS sigue en boca de todos, se descarga con falsos antivirus y downloaders, con diferentes exploit kits, y la red social por excelencia no podía ser una excepción. La semana pasada se vieron en Facebook mensajes como el siguiente:


La URL contenida en el mensaje llevaba a un sitio de phishing de Facebook donde se pedía la autenticación en el sistema, a la vez que se ejecutaba código Javascript ofuscado que creaba un iframe oculto en el cuerpo de la página:


La página a la que redirigía el iframe contenía a su vez otros dos iframes:

<iframe g1g="321" src="xd/pdf.pdf" l="56" height="31" width="13">
<iframe g1g="321" src="xd/sNode.php" l="56" height="31" width="13">

El directorio que contenía estos archivos se encontraba listable en el servidor:



El archivo PDF que se intenta descargar es un archivo malicioso que ejecuta código Javascript ofuscado. Contiene tres vulnerabilidades que se intentarán explotar dependiendo de la versión del lector de PDFs que se use:



Los tres exploits tienen la misma shellcode:


Como se puede ver, la ejecución de dicha shellcode lleva a la descarga y ejecución de un binario desde la URL de la imagen anterior. Dicho binario es un ZeuS que se instala en el sistema como sdra64.exe y cuya versión es 1.3.2.4.

A su vez, el archivo sNode.php intenta explotar una vulnerabilidad de flash a través de la ejecución del archivo nowTrue.swf, tras introducir en memoria una shellcode muy parecida a la anterior, pero que en este caso se descargaba un binario de la URL siguiente:

hxxp://109.95.115.35/fsp/load.php?id=5

Este binario descargado tiene un MD5 diferente al anterior, pero en su ejecución efectúa las mismas acciones, siendo igualmenete un ZeuS versión 1.3.2.4.

De forma paralela, cuando se rellenan los datos de la página falsa de Facebook éstos son enviados a otra URL que en el momento del análisis incluía un dominio incorrecto, por lo que no redirigía correctamente:


En cambio, sustituyendo este dominio erróneo por la IP que hospedaba el phishing se llegaba a la página deseada, donde primero se informaba de que se debía actualizar la versión de Adobe Flash Player y se proporcionaba un nuevo binario para ello, con nombre update.exe. Tras esto, aún existía otro enlace en la misma página que instaba a descargar el archivo photo.exe, que resultaba ser el mismo binario anterior. Estos dos últimos binarios también tienen distinto MD5 que los dos primeros, pero siguen comportándose de la misma forma: ZeuS versión 1.3.2.4.




Si desafortunadamente alguno de vosotros pensáis que habéis caído en alguna de las tretas relatadas podéis comprobar si estáis infectados siguiendo los consejos publicados hace unos meses.


Jose Miguel Esparza
S21sec e-crime

8 comentarios:

Anubys dijo...

Buen articulo por lo que veo la sofisticación para la ejecución de los troyanos va en aumento, y las vulnerabilidades de adobe al orden del día.

Con la masificación de las redes sociales y el uso de los acortadores de url tan usado en twitter, los crackers campan a sus anchas.
ab

xneo72 dijo...

Muy bien explicado, yo no soy de entrar mucho en Facebook pero el articulo esta muy bien para ponerte en alerta ante una situacion igual o similar. Por cierto saludos a Leonardo Nve por su investigación sobre las vulnerabilidades de la conexion a internet por satelites que ha salido en --> http://www.forbes.com/2010/02/02/hackers-cybercrime-cryptography-technology-security-satellite.html

Nacho dijo...

También lo transmiten a través de tuenti:

http://foro.elhacker.net/seguridad/aviso_los_hackers_rusos_descubren_tuenti-t282566.0.html

Parece la misma metodología.

Anónimo dijo...

Hola!

Que programa has usado para analizar el pdf?? La output que hay es la del programa, o has montado la imagen luego de obtener la shellcode?

Gracias!

Caracol dijo...

Hola! Buen artículo!
A ver si puedes echarme una manilla...
Descargué el pdf en el móvil sin darme cuenta... lo borré en el acto y cancelé la carga de la página a la que te deriva el link.
¿Cómo puedo saber si tengo el móvil infectado?
En mi cuenta de facebook no tengo acceso al fatídico mensaje que me ha contaminado, no me deja borrarlo, ¿puedo hacer algo?

Gracias

S21sec e-crime dijo...

Buenas, siento el retraso, que he estado un poco liadillo, y gracias a todos por los comentarios.

Como dices, Anubys, cada vez los "malos" buscan cosas nuevas para llegar a más gente, y la redes sociales (buen apunte sobre la propagación en tuenti, Nacho), con el tirón que tienen no podían ser una excepción. El juego del gato y el ratón de siempre ;)

Sobre el programilla usado para el análisis del PDF, se trata de un pequeño script que ya colgué hace un tiempo y que sirve para ofuscaciones no muy complicadas que usan el filtro FlateDecode.

Caracol, sobre la posible infección de tu móvil, ahora mismo ZeuS no afecta a móviles, ya que la mayoría de ellos, si no todos, no tienen un procesador que entienda instrucciones x86 y no se ejecutará correctamente. Lo mismo pasa para la explotación del PDF, la shellcode no se ejecutará ya que no está hecha para esta plataforma.

Un saludo,
Josemi

Anónimo dijo...

HOla!! yo he llegado a pinchar el link, me llegó por mensaje privado de uno de mis contactos,pero enseguida me di cuenta de que podía ser un virus y no hice nada más, es decir, no me volví a identificar en FB ni descargué pdf ni nada... entonces ¿no pasa nada, no? GRACIAS.

S21sec e-crime dijo...

De todas formas, puede que se abriera y cerrara el lector de PDFs muy rápido o que ejecutará el exploit del archivo flash. Te recomiendo que le eches un vistazo al link que pongo en el post para saber si estás infectado.

Un saludo!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login