El FTP password stealer definitivo

By
In Sin categoría

Es usual ver multitud de troyanos en la red buscando en el tráfico palabras mágicas como “USER” y “PASS”, que identifican una autenticación FTP, así como POP3. Los troyanos que disponen de este tipo de monitorización de tráfico son capaces de recolectar tanto servidores como credenciales de usuario en cuanto el usuario hace la petición de login mediante protocolo FTP. No obstante, esto es frecuente en distintas familias de malware. Hace unos días analizamos un troyano cuya única función era la recolección de credenciales FTP, pero lo hacía realmente bien: intentaba recuperar dichas credenciales de todas las fuentes disponibles en el equipo infectado, más allá de la monitorización de red ya mencionada y soportando gran cantidad de distintos clientes FTP. En casos en que las credenciales se almacenaban en formato cifrado, el troyano era capaz de lograr el descifrado.

La lista completa de las aplicaciones afectadas eran:

* CoffeeCup Free FTP
* TransSoft FTP
* Core FTP
* Far Manager’s saved connections
* Total Commander’s saved connections
* GlobalSCAPE Cute FTP client
* FileZilla
* FlashFXP
* Passwords from Windows Internals (Protected Storage)
* SmartFTP
* FTP Navigator

Detección de antivirus:

Filesize: 32768 bytes
MD5: 22bee10a9c989e3d217b0259b2bf9f63
Resultado: 38/41 (92.68%)
a-squared Trojan-PWS.Win32.Agent!IK
AhnLab-V3 Win-Trojan/Daurso.32768
AntiVir TR/PSW.Agent.mzh.1
Antiy-AVL Trojan/Win32.Agent.gen
Authentium W32/Agent.HKC
Avast Win32:Trojan-gen
AVG PSW.Agent.AAJK
BitDefender Generic.PWStealer.5EFCF3C4
CAT-QuickHeal TrojanPSW.Agent.mzh
ClamAV Trojan.Spy-63868
Comodo TrojWare.Win32.PSW.Agent.mzh
DrWeb Trojan.PWS.Multi.24
F-Prot W32/Agent.HKC
F-Secure Generic.PWStealer.5EFCF3C4
Fortinet W32/Agent.MZH!tr.pws
GData Generic.PWStealer.5EFCF3C4
Ikarus Trojan-PWS.Win32.Agent
Jiangmin Trojan/PSW.Agent.htc
K7AntiVirus Trojan-PSW.Win32.Agent.mzh
Kaspersky Trojan-PSW.Win32.Agent.mzh
McAfee Generic PWS.y!yx
McAfee+Artemis Generic PWS.y!yx
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Backdoor.H
Microsoft PWS:Win32/Daurso.A
NOD32 Win32/PSW.Agent.LQD
Norman W32/Agent.PHND
nProtect Trojan-PWS/W32.Agent.32768.Q
Panda Trj/CI.A
PCTools Trojan-PWS.Agent
Rising Trojan.PSW.Win32.Agent.euo
Sophos Mal/Generic-A
Sunbelt Trojan.Win32.Generic!BT
Symantec Infostealer
TheHacker Trojan/PSW.Agent.mzh
TrendMicro TSPY_AGENT.AVMG
VBA32 Trojan-PSW.Win32.Agent.mzh
ViRobot Trojan.Win32.PSWAgent.32768.R
VirusBuster Trojan.PWS.Agent.NPLX
https://www.virustotal.com/analisis/90acaa9342474fda4543157511fe52d079dc587b5814003809736fe938a1de28-1257151450

En este caso la detección de antivirus es bastante buena para la muestra, todos lo detectan. Pero ¿es posible que esto no tenga ninguna importancia? ¿Por qué tengo esa impresión, a pesar de la detección de todos los antivirus? En este caso el troyano se distribuye con la ayuda de otro, llamado Bredolab, y es el que descarga los ficheros cifrados. De este modo, no salta ninguna alarma para firmas de “PE” o “MZ” en la red que puedan hacer saltar ninguna alarma de descarga de ejecutable. Por otra parte, Bredolab puede evitar varios productos antivirus, así como ejecutar los binarios que descarga directamente en memoria y sin necesidad de tocar el disco. De este modo, sin ningún fichero en disco, no queda nada que escanear.

Por otra parte, ¿cómo se benefician los delincuentes de las credenciales FTP robadas? Pueden venderlas, o comprobar si pertenecen a alguna empresa importante, pero la práctica más habitual estos días es utilizarlas para distribución de código malicioso. De forma automática enumeran todos los logins de FTP y comprueban si pueden modificar alguna página web dentro de la cuenta (necesita acceso de escritura, y comprueba si el sitio tiene index.html o ficheros php). En caso afirmativo, añaden contenido javascript extra en el código o redirecciones a un sitio web remoto en el que un kit de explotación intenta infectar los equipos vulnerables que la visiten. Este escenario es similar a las inyecciones SQL masivas, aunque en este caso son las credenciales FTP las que permiten comprometer cientos de sitios a pesar de no tener ninguna vulnerabilidad.

Jozsef Gegeny
S21sec e-crime

Recommended Posts
Showing 2 comments
  • David
    Responder

    Los clientes FTP tampoco ayudan mucho porque algunos guardan las credenciales en un fichero sin cifrar.

  • Alex Huerta
    Responder

    Hola:

    Muy bueno el artículo. Buscando información sobre cómo eliminarlo llegué aquí. Ahora busco cómo librarme de manera automática de la inyección de código que hizo en un par de sitios. Cada página index.* y *.js fue infectada por código malicioso. Es realmente engorroso borrar el código página por página. ¿Cómo puedo hacer para borrarlo de manera automática?

    Gracias.
    Saludos.

Leave a Comment