Posts Tagged ‘MitB’

Tatanga: un nuovo trojan bancario con funzioni MitB

marzo 2nd, 2011, posted in S21sec, Traduzioni inglese>italiano

Il post seguente è stato tradotto per gentile concessione di S21sec.

Recentemente la nostra unità e-crime ha rilevato un nuovo trojan bancario, chiamato Tatanga , con funzioni Man in the Browser (MitB) che colpisce banche della Spagna, Regno Unito, Germania e Portogallo.

Come SpyEye è in grado di eseguire transazioni automatiche, recuperare muli da un server ed effettuare lo spoofing del saldo reale e delle operazioni bancarie degli utenti.

Il suo tasso di individuazione è molto basso e i pochi motori antivirus che sono in grado di rilevarlo forniscono risultati generici.

Il trojan in questione è piuttosto complesso. È scritto in C ++ e utilizza tecniche rootkit per nascondere la propria presenza, anche se a volte i suoi file sono visibili. Il trojan scarica un certo numero di moduli cifrati (DLL), che vengono decifrati in memoria quando vengono iniettati nel browser, o altri processi per evitare il rilevamento da parte di software antivirus. I moduli sono i seguenti:

  • ModEmailGrabber : Raccoglie gli indirizzi e-mail
  • Coredb : Gestisce la configurazione del trojan. Il file corrispondente è cifrato con algoritmo 3DES.
  • Comm Support Library : Questo modulo implementa la cifratura della comunicazione tra il trojan e il pannello di controllo.
  • File Patcher : La funzione di questo modulo non è ancora chiara. Si sospetta che sia responsabile della diffusione nelle cartelle di contenuti multimediali, file zippati o eseguibili.
  • ModMalwareRemover : Utilizzato per la rimozione di altre famiglie di malware, tra cui Zeus.

  • ModBlockAVTraffic : Blocca l’applicazione antivirus installata nel sistema
  • ModDynamicInjection : relativo alle HTML injection

I nomi dei moduli ModEmailGrabber e ModMalwareRemover potrebbero essere stati utilizzati in un bot nel 2008, quindi, probabilmente, sono il risultato dell’evoluzione di quel malware.

Come altri trojan di questo tipo, utilizzano un file di configurazione cifrato. Questo file è in formato XML e ha un elemento per ciascun paese interessato. Il codice per ciascun paese è codificato e ha il seguente formato:

^^monitorized_url1~~monitorized_url2||code_replaced_in_legit_webpage||code_to_replace_for

A seconda della banca presa di mira, il trojan può catturare le credenziali passivamente, o spingersi oltre per effettuare la transazione fraudolenta nella sessione utente. In alcuni casi le credenziali richieste includono la chiave mobile OTP e hanno successo grazie a un buon social engineering presente nelle loro injection:

Sette siti web compromessi sono hardcoded e agiscono come proxy nei confronti del pannello di controllo reale. Le loro funzioni spaziano dall’invio di dati, alla notifica delle infezioni e a ottenere conti money mules. Il formato degli URL è il seguente:

http://hacked_site.com/com/m.php?f=module.dll
http://hacked_site.com/com/c.php italic;”>
http://hacked_site.com/com/d.php italic;”>
http://control_panel/srvpnl/upload/module.dll

Questo malware colpisce otto browser, in pratica quasi tutti gli utenti Windows:

  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome
  • Opera
  • MinefieldMaxthoon
  • Netscape
  • Safari
  • Konqueror

Alcune funzionalità aggiuntive del trojan:

  • supporto 64-bit: nei sistemi a 32-bit si inietta in explore.exe ed è eseguito come un normale processo nei sistemi a 64 bit
  • Tecniche Anti-VM e anti-debugging
  • Dump delle pagine di online banking e successivo invio al server, probabilmente al fine di migliorare il codice iniettato
  • Algoritmo di cifratura debole nella comunicazione basata su C&C con operazioni XOR.
  • Comandi accettati dalla C&C:
    modinfo, softstat, cmd, stopos, startos, reboot, winkill, die, instsoft, proclist, clearcookies, setlevel, kill
  • Funzioni per impedire che venga scaricato Trusteer Rapport

Abbiamo notato molti commenti e funzioni di test, probabilmente, quindi, potrebbe essere solo un test per migliorarne le funzionalità prima della diffusione. Stay tuned!

Jozsef Gegeny & Jose Miguel Esparza S21sec e-crime

Fonte: Tatanga: a new banking trojan with MitB functions

read more no comments

Le ultime funzionalità di SpyEye includono Man-in-the-Browser

novembre 7th, 2010, posted in S21sec, Traduzioni inglese>italiano

Il post seguente è stato tradotto per gentile concessione di S21sec.

Meno di un mese fa, S21sec e-crime ha rilevato una nuova minaccia che elude il secondo vettore di autenticazione basato sugli SMS.

Oggi presentiamo una nuova tecnica che, pur essendo già nota, nelle ultime settimane sta colpendo alcune organizzazioni : Man in the Browser


Questa nuova tecnica (MitB) viene utilizzata da un trojan, che infettando e prendendo il controllo di un web browser, modifica pagine, informazioni sulle transazioni, ecc…; tutto questo furtivamente, senza che l’utente o l’applicazione della banca online se ne accorgano.

In questo caso il trojan non è il ben noto Zeus/Zbot ma il suo “concorrente” conosciuto come SpyEye. Prima della fine del 2009, un nuovo Trojan bancario chiamato SpyEye, ha fatto la sua comparsa nel mondo underground. È scritto in C ++ e la gamma dei sistemi supportati spazia da Windows 2000 a Windows 7. Funziona in ring3 (modalità utente), come il suo concorrente ZeuS, anche se questa non è l’unica somiglianza tra i due trojan.

SpyEye è venduto in diversi forum e si dice che non sia rilevabile dalla maggior parte dei software antivirus; ma nasconde anche diversi file e chiavi di registro. SpyEye possiede molte delle caratteristiche di Zeus, anche se è ancora in sviluppo. Il pacchetto di distribuzione di questo trojan è simile a Zbot/Zeus e altri fraud kit solitamente distribuiti nei forum dell’Europa orientale e della Russia.

Le caratteristiche principali delle versioni precedenti di SpyEye sono le seguenti:

  • Form Grabbing: cattura i dati inseriti dall’utente nei campi dei form presentati dal browser.

  • Iniezione di codice: questa tecnica comporta l’iniezione di codice HTML nel browser della vittima per ottenere ulteriori informazioni che l’organizzazione non potrebbe mai chiedere. Nei file di configurazione analizzati, l’informazione richiesta è, di solito, il codice di sicurezza completo.

  • Furto delle credenziali FTP e POP3: comprende il monitoraggio del traffico di rete, intercettando le funzioni API per il filtering e la memorizzazione delle credenziali, soprattutto per monitorare il traffico e individuare i valori “USER” e “PASS”

  • Furto dell’autenticazione di base http : un approccio simile al furto delle credenziali FTP e POP3

La versione trattata in questo caso include anche le seguenti caratteristiche.:

  • Screenshots: nel file di configurazione è possibile impostare gli URL che attiveranno la cattura degli screenshot, catturando una specifica zona dello schermo mantenendo le dimensioni originali.

    Un esempio è:

    https://onlineaccess.mybank.com/authenticate* 500 200 10 60

  • Capacità di effettuare Man in the Browser (MitB).

    • Abbiamo notato un aumento del numero dei campioni di SpyEye in the wild rispetto a settembre, perciò crediamo che questa campagna trojan sia iniziata in questo mese:


    I primi casi di frode sono stati rilevati intorno alla metà di ottobre, con almeno due diversi campioni di trojan. È importante dire che questa tecnica ha colpito soltanto una delle organizzazioni analizzate. Anche se questo attacco è completamente operativo, crediamo che sia ancora in una fase di testing.

    Stiamo ancora lavorando sull’analisi dei binari, ma il comportamento osservato è il medesimo rilevato nel file binario scoperto lo scorso febbraio. Tuttavia alcuni miglioramenti sono stati notati in relazione all’algoritmo di cifratura del suo file di configurazione. Il rilevamento dei campioni è rispettivamente di 62% e 20%.

    La caratteristica principale e che desta maggiore preoccupazione, è l’iniezione di codice HTML. In questo caso l’iniezione è stata effettuata interamente con codice javascript, consentendo al binario di eseguire l’ MITB:

    • Il trojan riceve i dati dai conti e li invia al server C&C

    • Se il saldo del conto supera una certa quantità di denaro, restituisce l’account di dati in cui deve effettuare il trasferimento fraudolento (mulo), utilizzando il seguente formato: 
      [
"trans" = 1,
"info"  = [
 "check" = [
            0 = XXXX,
            1 = XXXX,
            2 = XX,
            3 = XXXXXXXXXX
           ],
 "sum"     = 493,
 "name"    = "Peter",
"address" = "12 street, nº1 1ºA",
 "city"    = "NY",
 "comment" = "Transfer"
]
]

    • Il trojan compila il form con questi dati e rimane in modalità di attesa.

    • Vengono richiesti numerosi dettagli all’utente, ad esempio la chiave della firma.

    • Tramite i dati recuperati, viene inviato il form di trasferimento alla banca.

    • Il saldo viene modificato per nascondere la frode.

      • Come potete notare, intercettando la sessione dell’utente legittimo, la frode è realizzata in modo tale che sia più difficile rivelarla da parte dell’organizzazione

      Nei campioni analizzati sembra che vengano utilizzati tre differenti conti per eseguire il trasferimento fraudolento. In questo caso, tutti appartenenti a organizzazioni spagnole.

      S21sec e-crime vi aggiornerà non appena avrà ulteriori informazioni in merito a questa nuova tecnica.


      Santiago Vicente
      S21sec e-crime

      Fonte: SpyEye latest features include Man-in-the-Browser

    read more no comments