Análisis actualizado del troyano BBB Phish

Buenas,

Os enlazo un excelente análisis del troyano BBB Phish a cargo de Secure Works. Este troyano es de alta segmentación, y durante su tiempo de actividad, ha estado orientado a la gerencia de tres compañías norteamericanas, en las que aparentemente, ha causado bastante daño.

El método de infección es un correo que incita a instalar una serie de documentos de estudio de la Better Business Bureau:

bbb phish

bbb phish

El resultado final es el ofrecimiento de la instalación de un ejecutable, que lleva dentro al bichito:

bbb phish

En el informe de Secure Works aparecen todos los detalles y los métodos de desinfección.

Un saludo, y buen fin de semana :)

6 comentarios sobre “Análisis actualizado del troyano BBB Phish

  1. Excelente referencia, como siempre; muchas gracias.

    Muy valioso para mostrar como EJEMPLO, a incrédulos ;-)

    Me encanta el detalle técnico explícito «Uses … (BHO) to access form data BEFORE it is SSL-encrypted» y el ejemplo consecuente (data leakage):

    VISITED_URL=https://login.yahoo.com/config/login?POSTDATA
    =… (more params, more params)… &login=xxxxxxxxxxx &passwd=xxxxxxxx&_save=Sign In&

    … porque muchas personas [con formación…] creen que con el «https» ya todo está cifrado (mentira), es decir, no tienen claro cómo funciona la pila OSI o los procesos de comunicación internos de un PC. Una cosa es protección en nivel de red y otra en nivel de aplicación, donde los datos pueden estar [aún] «en claro».

    Aprovecho este EJEMPLO, para pedirte la referencia de otro (EJEMPLO2) de algo relacionado, pero lo pongo en siguiente entrada.

  2. EJEMPLO2 (petición)

    Sergio, si tienes alguna referencia, técnica pero fácil de entender, sobre explotación de vulnerabilidad en servidor web que logre cambiar su contenido.

    Puede ser un referencia histórica (ej: alguna vulnerabilidad de apache o IIS, o moderna -ataque a PHP-). Si es sobre servidor linux-based mejor.

    Explicación (seguro te vendrá bien la idea, per se): Muchos responsable de explotación, técnicamente bien formados (…) son *incrédulos* ante los ataques que puedan modificar los contenidos de sus páginas web; frase típica (no necesariamente exagerando) «si explícitamente en el código o en la máquina no me han puesto una puerta trasera, no veo forma de que me puedan cambiar las fuentes de mis páginas html, scripts, etc»

    Esas personas… necesitan una DEMO:

    Necesitan ver con sus ojitos, cómo su bella página de bienvenida original española es enriquecida (por ejemplo) con algún IFRAME a script PHP localizado en RUSIA (tipo «yepjnddqpq.biz») -trojan downloader- para sus visitantes.

    Si no recuerdo mal, creo que en OWASP había algún kit (antiguo, pero educativo) de servidor web vulnerable + forma de explotarlo. Lo buscaré.

    Pero me gustaría alguno de PHP (histórico pero de año 2007), dado que tengo entendido que los atacan de forma automática (!!) con kits como el MPACK. Pero no soy un experto ni mucho menos. Me puedes corregir si estoy equivocado.

    Un abrazo y gracias de verdad «por tu blog» ;-)

  3. Bueno, me respondo a mí mismo :-) por si algún lector ha visto mi petición y está interesado en alguna pista.

    (aclaratoria: mi interés es desde el punto de vista de seguridad, educativo, preventivo… no quiero formar parte del lado del mal :-)

    http://en.wikipedia.org/wiki/Remote_File_Inclusion (ej: PHP)

    Sintesis: El usuario edita URL original en su navegador (sencillo). Esto le permite ya ejecutar scripts PHP de su PC (o sitio web ajeno) en el servidor web legítimo. Si dentro de la URL modificada especifica un archivo PHP especial (google -> C99 shell, esta parte tiene curro) puede llegar a visualizar el contenido de archivos del servidor web legítimo y posteriormente modificarlos.

    Un posible resultado: la página web queda con algún IFRAME invisible adicional (apuntando a script maligno PHP) que su dueño legítimo jamás pensó que podía llegar allí. Entretanto, habrá infectado sin saberlo, a miles de usuarios visitantes de su wen legítima.

    Y cuando lo vea algún día, se lo preguntará, no lo resolverá y finalmente lo quitará. Luego sufrirá sin su conocimiento un nuevo escaneo y hidden defacement.

    ¿Una película? Nope.

    Bueno, en mis ratos libres seguiré investigando y lo probaré en persona, no vaya a ser que me vea un maligno y me tilde de tecnicoless ;-) No voy a corres ese «riesgo». Jeje

    Un abrazo,

  4. Muchísimas gracias!

    Ojalá pudiera ‘clonarme’ para dedicarle más tiempo a estas cosas.

    Un abrazo,

  5. Nota curiosa,

    Como Google consigue todo (menudo «poder» tiene esa compañía…), localicé algunos archivos «C99» malignos (ficheros de texto plano) y, curiosamente, aunque sea texto, el antivirus los detecta como virus (me parece bien).

    Entiendo que es malware que no puede hacer daño «a tu PC»… sino que puede hacer daño «a servidores web legítimos desde tu PC». Interesante lo que se deduce de todo esto: malware broadcasting a la enésima potencia.

    ¿MALWARE 2.0 ?

Comentarios cerrados.