Español | English
rss facebook linkedin Twitter

Nueva variante de Feodo sigue los pasos de Geodo

La actividad de Cridex (aka Feodo/Bugat) y sus variantes alcanzó su máximo exponente a finales del año pasado y principios de este, desapareciendo poco después hasta la reaparición en Junio de una nueva evolución conocida como Geodo identificada por los chicos de abuse.ch.



Esta misma semana, el departamento de Ecrime de S21sec se ha topado con lo que parece ser una nueva evolución, diferente a Geodo, de alguna de las antiguas variantes con nuevas e interesantes características.

En primer lugar, emplea un loader con funcionalidad limitada como primer punto de infección para descargarse a posteriori el módulo principal del troyano en forma de DLL, instalándose en las siguientes rutas e inyectándose en explorer.exe como habitualmente:



Dicha comunicación se realiza a través del ya característico puerto 8080 a un path algo diferente a lo visto en otras ocasiones:


Posteriormente se descargará el fichero de configuración comprimido en formato gzip pero con un header falso:



El fichero de configuración está en en formato XML y en él se incluye información estructurada de la siguiente forma:
  • modules: Descarga de nuevos módulos en Base64, que a su vez pueden ser:
    • vnc_x32
    • vnc_x64
    • socks_x32
    • socks_x64
    • bot_x32
    • bot_x64
  • httpshots y clickshots: Capturas de pantalla
  • formgrabber: Form Grabbing
  • bconnect: Servidor Back Connect
  • vncconnect: Servidor VNC
  • redirects: Referencias a recursos externos usados en las inyecciones
  • httpinjects: Entidades afectadas y sus inyecciones

A día de hoy, las entidades reflejadas en el fichero de configuración son principalmente de Reino Unido, Irlanda, Emiratos Árabes Unidos y Qatar, con algunas de las inyecciones orientadas a saltarse el segundo factor de autenticación y ser usadas en conjunto con el módulo VNC para poder así suplantar a la víctima dentro de su misma sesión en la banca electrónica.

Por lo tanto parece que después de unos meses de silencio en el mundo Cridex, al reconvertido en Geodo se le une uno de sus antiguos compañeros de viaje, maquillado para la ocasión.


Santiago Vicente
S21sec Ecrime
@S21sec@smvicente

--
Las firmas MD5 de los ficheros analizados por S21sec en el análisis han sido:
  • loader: 9d81ac7604ef2a0096537396a4a91193
  • bot_x32: 04b55edf43a006f9c531287161fa2fa8
  • vnc_x32: c73c3c18b74c67e88d5b3f4658016dcd
Otros posibles hashes para el resto de módulos son:
  • vnc_x64: 5ecfc1d3274845bf5ff3f66ca255945e
  • socks_x32: 53eb0e59b5bb574df5755527dc3d4f47
  • socks_x64: 0dfc66eadbd9e88b2262ac848eadee8f
  • bot_x64: 4df1cef98bbc174ba02f17d2ca6c0a58

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login