Il post seguente è stato tradotto per gentile concessione di S21sec.
Meno di un mese fa, S21sec e-crime ha rilevato una nuova minaccia che elude il secondo vettore di autenticazione basato sugli SMS.
Oggi presentiamo una nuova tecnica che, pur essendo già nota, nelle ultime settimane sta colpendo alcune organizzazioni : Man in the Browser
Questa nuova tecnica (MitB) viene utilizzata da un trojan, che infettando e prendendo il controllo di un web browser, modifica pagine, informazioni sulle transazioni, ecc…; tutto questo furtivamente, senza che l’utente o l’applicazione della banca online se ne accorgano.
In questo caso il trojan non è il ben noto Zeus/Zbot ma il suo “concorrente” conosciuto come SpyEye. Prima della fine del 2009, un nuovo Trojan bancario chiamato SpyEye, ha fatto la sua comparsa nel mondo underground. È scritto in C ++ e la gamma dei sistemi supportati spazia da Windows 2000 a Windows 7. Funziona in ring3 (modalità utente), come il suo concorrente ZeuS, anche se questa non è l’unica somiglianza tra i due trojan.
SpyEye è venduto in diversi forum e si dice che non sia rilevabile dalla maggior parte dei software antivirus; ma nasconde anche diversi file e chiavi di registro. SpyEye possiede molte delle caratteristiche di Zeus, anche se è ancora in sviluppo. Il pacchetto di distribuzione di questo trojan è simile a Zbot/Zeus e altri fraud kit solitamente distribuiti nei forum dell’Europa orientale e della Russia.
Le caratteristiche principali delle versioni precedenti di SpyEye sono le seguenti:
- Form Grabbing: cattura i dati inseriti dall’utente nei campi dei form presentati dal browser.
- Iniezione di codice: questa tecnica comporta l’iniezione di codice HTML nel browser della vittima per ottenere ulteriori informazioni che l’organizzazione non potrebbe mai chiedere. Nei file di configurazione analizzati, l’informazione richiesta è, di solito, il codice di sicurezza completo.
- Furto delle credenziali FTP e POP3: comprende il monitoraggio del traffico di rete, intercettando le funzioni API per il filtering e la memorizzazione delle credenziali, soprattutto per monitorare il traffico e individuare i valori “USER” e “PASS”
- Furto dell’autenticazione di base http : un approccio simile al furto delle credenziali FTP e POP3
La versione trattata in questo caso include anche le seguenti caratteristiche.:
- Screenshots: nel file di configurazione è possibile impostare gli URL che attiveranno la cattura degli screenshot, catturando una specifica zona dello schermo mantenendo le dimensioni originali.
Un esempio è:
https://onlineaccess.mybank.com/authenticate* 500 200 10 60
Abbiamo notato un aumento del numero dei campioni di SpyEye in the wild rispetto a settembre, perciò crediamo che questa campagna trojan sia iniziata in questo mese:
I primi casi di frode sono stati rilevati intorno alla metà di ottobre, con almeno due diversi campioni di trojan. È importante dire che questa tecnica ha colpito soltanto una delle organizzazioni analizzate. Anche se questo attacco è completamente operativo, crediamo che sia ancora in una fase di testing.
Stiamo ancora lavorando sull’analisi dei binari, ma il comportamento osservato è il medesimo rilevato nel file binario scoperto lo scorso febbraio. Tuttavia alcuni miglioramenti sono stati notati in relazione all’algoritmo di cifratura del suo file di configurazione. Il rilevamento dei campioni è rispettivamente di 62% e 20%.
La caratteristica principale e che desta maggiore preoccupazione, è l’iniezione di codice HTML. In questo caso l’iniezione è stata effettuata interamente con codice javascript, consentendo al binario di eseguire l’ MITB:
- Il trojan riceve i dati dai conti e li invia al server C&C
- Se il saldo del conto supera una certa quantità di denaro, restituisce l’account di dati in cui deve effettuare il trasferimento fraudolento (mulo), utilizzando il seguente formato:
[ "trans" = 1, "info" = [ "check" = [ 0 = XXXX, 1 = XXXX, 2 = XX, 3 = XXXXXXXXXX ], "sum" = 493, "name" = "Peter", "address" = "12 street, nº1 1ºA", "city" = "NY", "comment" = "Transfer" ] ]
- Il trojan compila il form con questi dati e rimane in modalità di attesa.
- Vengono richiesti numerosi dettagli all’utente, ad esempio la chiave della firma.
- Tramite i dati recuperati, viene inviato il form di trasferimento alla banca.
- Il saldo viene modificato per nascondere la frode.
- Form Grabbing: It captures the data filled by the user in the fields of the forms submitted by the browser.
- Code injection: This technique involves the injection of HTML code in the victim’s browser to get additional information the organization wouldn’t ask for. In the configuration files analyzed, the requested information is usually the full security code.
- Stealing FTP and POP3 credentials: Includes network traffic monitoring, hooking into the API functions of filtering and credentials storage, mainly to monitor the traffic and looking for “USER” and “PASS” values.
- Basic http authentication Theft: A similar approach to the FTP and POP3 credentials theft.
- Screenshots: in the configuration file you can set up the URLs that will trigger a screenshot capture, configuring a specific screen zone with its dimensions.
An example is:
https://onlineaccess.mybank.com/authenticate* 500 200 10 60
- Ability to do Man in The Browser (MitB).
- The trojan gets the data from the accounts and sends them to the C&C server
- If the account balance exceeds a certain amount of money, it returns the data account in which must perform the fraudulent transfer (mule), using the following format:
[ "trans" = 1, "info" = [ "check" = [ 0 = XXXX, 1 = XXXX, 2 = XX, 3 = XXXXXXXXXX ], "sum" = 493, "name" = "Peter", "address" = "12 street, nº1 1ºA", "city" = "NY", "comment" = "Transfer" ] ] - The trojan fills in the form with these details and stays in waiting mode.
- Several details are requested from the user, for instance the signature key.
- With the data fetched, it sends the transfer form to the bank.
- It modifies the account balance in order to hide the fraud.
Come potete notare, intercettando la sessione dell’utente legittimo, la frode è realizzata in modo tale che sia più difficile rivelarla da parte dell’organizzazione
Nei campioni analizzati sembra che vengano utilizzati tre differenti conti per eseguire il trasferimento fraudolento. In questo caso, tutti appartenenti a organizzazioni spagnole.
S21sec e-crime vi aggiornerà non appena avrà ulteriori informazioni in merito a questa nuova tecnica.
Santiago Vicente
S21sec e-crime
Fonte: SpyEye latest features include Man-in-the-Browser
Less than a month ago, S21sec e-crime detected a new threat that defeats the second authentication vector based on SMS.
Today, we’re back to announce a new technique which, although is already known, is affecting some organizations during the last weeks: Man in the Browser.
Briefly, this new technique (MitB), is implemented by a trojan that infects and controls a web browser, having the ability to modify pages, transaction information, etc. stealthy performing all its actions to both the user and the bank online application.
In this incident, the trojan is not the well-known ZeuS/Zbot, but his “competitor” known as SpyEye. By the end of 2009, a new banking Trojan called SpyEye made its appearance on the underground world. It is written in C++ and the supported systems range from Windows 2000 to Windows 7. It works in ring3 (user-mode), as its competitor ZeuS does, although this is not the only similarity between both Trojans.
SpyEye is sold in several forums as it is said to be undetectable by most anti-virus software; it also hides several files as well as registry keys. SpyEye implements many of the ZeuS’ features, though it is still in development. The distribution package of this Trojan is similar to Zbot/ZeuS and other fraud kits usually distributed in forums of Eastern Europe and Russia.
The main features of previous SpyEye’s versions are the following:
In the version discussed in this incident, it also includes the following features:
We have noticed an increase in the number of SpyEye samples in the wild since the past September, which led us to think that this trojan campaign started on this month:
The first fraud incidents were detected around the middle of October, with at least two different trojan samples. It is important to say that we have only seen this technique affecting to one of the affected organizations. Although this attack is completely functional, our feelings are that it’s still in its testing phase.
We are still working on the analysis of the binary, but the behaviour observed is the same one we detected in the binary discovered last February. Nevertheless, some improvements have been noticed in relation to his config file encryption algorithm. The samples detection is 62% and 20% respectively.
The main and most worrying feature is the HTML injection. In this incident, the injection is entirely done with javascript code, allowing the binary to do the MITB feature:
As you can see, by intercepting the legitimate user’s session, the fraud is commited in a much more difficult way to be detected by the organization
In the tests analyzed, it seems that three differents accounts are used to perform the fraudulent transfer. In this incident, all of them belong to spanish organizations.
S21sec e-crime will keep you updated as soon as we have additional information of this new technique.
Santiago Vicente
S21sec e-crime
Source: SpyEye latest features include Man-in-the-Browser