Inicio / Blog / Analizando al “pony”

Analizando al “pony”

Publicado el 04/03/2013, por INCIBE
pony

En las investigaciones y análisis de incidentes que realizamos durante el mes de Febrero hemos encontrado diversos sitios web donde se alojaba la botnet conocida como Pony. Esta botnet recibe esa denominación probablemente a causa de la utilización del icono del pony perteneciente al juego de Facebook “Farmville”.

Se trata de una botnet claramente enfocada al robo de credenciales de servicios utilizados por los usuarios infectados por el malware que los añade a la red zombi. Entre las credenciales capturadas, aparecen las relacionadas con servicios de FTP, correo electrónico, ssh, sitios web, conexiones RDP y de certificados. Además, entre las funcionalidades descubiertas por INTECO-CERT, la botnet dispone de sistemas de descifrado de contraseñas almacenadas por los siguientes programas:

Programas donde descifra contraseñas almacenadas

El malware utilizado para infectar los sistemas de los usuarios afecta a todas las versiones de Windows, desde Windows 98 hasta Windows 8, incluyendo tanto versiones de 32 como de 64 bits Al tener un espectro extremadamente amplio, esta botnet puede llegar a capturar millones de credenciales que posteriormente podrían emplearse con fines ilegítimos.

Sistemas operativos y navegadores afectados

Desde comienzos de 2013, el principal motivo que ha popularizado la propagación de esta botnet , es el tipo de funcionalidad para la que ha sido creada por un lado, y por la bajada de precio del “producto”. Actualmente se puede obtener por importes que rondan los 200$, cuando en el momento su salida al mercado undeground se vendía por 5000$.

Como se puede observar en las imágenes inferiores, el menú principal deja claro el propósito para el que fue creado, el robo de credenciales, pudiendo seleccionar de forma directa el tipo de contraseña que se está buscando, o revisar mediante gráficas, la fluctuación de contraseñas capturadas durante las últimas 24h, mostradas directamente al entrar al panel.

Opciones del menu de navegación

Credenciales Robadas

Credenciales Robadas en las últimas 24 horas

A nivel interno, es importante destacar el cambio de tendencia al dejar el uso de MD5 para el almacenaje de las contraseñas y pasarse al algoritmo SHA1, con la idea de que la información de acceso sea más segura.

A partir de las investigaciones realizadas, tenemos constancia de paneles con versiones 1.7 y 1.9. Así que seguiremos de cerca la evolución que pueda tener este panel, con el objetivo de conocer las nuevas “mejoras” que vayan implementando en la botnet.

Etiquetas: