2014-07-10 - Landscape

Bye Bye Flash EK ? (and Windigo group adapting)

<spoiler: it's back>

Some days ago researchers following closely the exploit kit landscape started to notice some problem on Flash EK (afaik first noticed by Will Metcalf from Emerging Threats)

Few days after on underground one of the two customers posted a message to get some news....

Now the main customer (Windigo/Glupteba/ExTKR) has transitionned to RIG.

Here is an image to sum this up:

The Windigo/Ebury group reacting to Flash EK problems and push Glupteba in RIG
(after migrating from Neutrino - 2014-03- and previously from Blackhole - 2013-10)
Note : For those following Flash EK "codex" should sound Familiar :)

Flash EK (aka Flash Pack) was a fork or son of SafePack itself forked or son of CritXPack (formerly : Vintage Pack) (<-- yes, if you stop following the move...then you get lost).

Here is the advert for Flash EK :

Original advert - 2013-12-19
------------------------------------------
Предложение в первую очередь подойдет тем, кто дорожит своими источниками трафа.

В дополнение к этой теме
Появилась возможность выдавать связку в формирующийся баннером фрейм.
Связка тестилась и дорабатывалась в течение долгого времени.
В составе связки шесть сплоитов:
- 3 джавы до 1.7.21 включительно
- ледибойе
- дашстайл
- сильвер
В админке предусмотрена возможность автоматической смены доменов, чек домена и файла на палевность, загрузка файла по крону.
Траф принимается только после баннера, но лимитов нет.
Баннер:
- отфильтровывает непробиваемые оси и браузеры
- ставит флешкуку на сутки, если кука уже есть - фильтр, если не ставится - бот
- фильтрует по разрешению монитора
Все остальное попадает на связку.
Пока что связка грузит только exe, работы с dll ведутся.
Стоимость одного баннера с неограниченным количеством трафа на один поток с возможностью загрузки одного файла - 250 уев в неделю.
Оплата - битками по курсу.
Стоимость чисток баннера входит в стоимость аренды.
Тест - баннер за 25 уе под одну панель на сутки.
СНГ траф отправляется на дисней.

Жаба: [email protected]
Контакт саппорта - через жабу.
ОТР и ссылка на профиль в эксплоите обязательны.
Олбанский, английский и гугл-транслятор по-прежнему не понимаю.

PS: Возможна работа за процент от трафа, 10 процентов, объемы от 100 килограмм в сутки
------------------------------------------
Google translates this as:
------------------------------------------
Offer primarily for those who cherish their sources cores.

In addition to this topic
Now you can give a bunch of emerging banner frame.
Ligament tests and been refined over time.
As part of a bunch of six sploitov:
- 3 Jawas to 1.7.21 inclusive
- lediboye
- dashstayl
- Silver
In the admin provides the ability to automatically change the domain, and check domain file on palevnost, downloading a file to the crown.
Cores taken only after the banner, but no limits.
banner:
- Filters impenetrable axis and Browsers
- Puts fleshkuku per day, if the cookie is already there - the filter if not put - bot
- By the resolution of the monitor
Everything else goes to a bunch.
So far, only a bunch of ship exe, dll work in progress.
The price of one banner with an unlimited number of cores on a single stream with the ability to download a file - 250 uev week.
Payment - chock Exchange.
Cost cleansing banner included in the rent.
Test - banner for 25 ye a single panel on the day.
CIS cores goes to disney.

Toad: [email protected]
Contact tech support - through toad.
OTR and link to a profile in the exploit required.
Albany, English and Google-translator still do not understand.

PS: Can work for a percentage of the cores, 10 percent of the volume of 100 pounds per day
------------------------------------------

Update on march :
------------------------------------------
Появилась возможность взять еще пять-десять арендаторов на связку.
Слив через баннер - желательно, но не обязательно, прикручен стандартный ротатор.
Семь сплоитов. Нелепые вопросы про ЦВЕ игнорируются.
Траф - анлим, потоков - пять.
Чек файла и актуального домена из админки.
Один поток - 250 неделя, пять - 750.
Для теста нужен проксирующий впс на nginx и свои домены.
Если не знаете, что такое nginx или что такое домены - не стучите.
Траф из СНГ не принимается.
Детали - в жабе. Только ОТР.
Саппорт закодированный, групповуху на 400 мест не планируем. Пробив на достойном уровне. Чистки регулярные.
Всегда есть подработка для джава-кодеров.
По-английски не понимаю. Со школьниками не общаюсь. Оставляю за собой право отказаться от сотрудничества по субъективным причинам.
---Later
2014-0322
2013-0074
2013-0634
2013-2551
2013-2471
2013-2465
2011-3544
------------------------------------------
Google translated :
------------------------------------------
Now you can take another five to ten tenants bunch.
Draining through banner - preferably, but not necessarily, bolted standard rotator.
Seven sploitov. Ridiculous questions about CEE ignored.
Traf - anlim, streams - five.
Check the file and the actual domain of the admin.
One thread - 250 a week, five - 750.
Need to test a proxy UPU nginx and their domains.
If you do not know what nginx or what domains - do not knock.
Cores from the CIS is not accepted.
Details - in the toad. Only OTP.
A support coded, Group 400 seats do not plan to. Breaking at a decent level. Regular cleaning.
There is always a part for java coders.
In English do not understand. With students do not communicate. I reserve the right to refuse to cooperate for subjective reasons
---Later
2014-0322
2013-0074
2013-0634
2013-2551
2013-2471
2013-2465
2011-3544
------------------------------------------

Recent move :

Flash Pack is exploiting CVE-2014-0322 http://t.co/cLnWsRFtfw pic.twitter.com/4WxKtY4wRb
— kafeine (@kafeine) March 27, 2014

Flask Pack is now targeting CVE-2014-0497. Post Updated : http://t.co/m9m88Z5tb8 pic.twitter.com/dD9Zfc5jSB
— kafeine (@kafeine) April 16, 2014

CVE-2014-0515 integrating Exploit Kit (CottonCastle and Flash EK) http://t.co/IY32oCKkTZ cc/thx @malware_traffic pic.twitter.com/3FEdeNEEIM
— kafeine (@kafeine) June 7, 2014

Flash EK : more randomness pic.twitter.com/pVU2yPXVik
— kafeine (@kafeine) June 16, 2014

How was the panel ?

Flash EK - 2014-05-26

Another one to show the Refer and country part when activated :

Flash EK 2014-04-16

So..some think Paunch and Conf are now talking together about the old good time...maybe we'll hear about it...he'll come back or Conf will disappear without drums as Xio (Sakura) , Serv2u (Neutrino) did...
(I have to admit it again. I know it's bad but each time an EK disappear I feel a little Sad...).
--Edit1 2014-07-11 --
Conf replied on Underground :

Залил клаву на ноуте
Вот и вся проблема

Saying globally that he

spilt some liquid on his laptop keyboard.
That's all.

Few hours later, the other customer ( cf first screenshot, same instance) is back :

Flash EK back 2014-07-12

And since yesterday evening the "windigo" traffic is redirected to this thread.....should help figuring out when they'll switch back to an (Flash?) EK

MDNC traffic (unusual rate is windigo traffic)

--edit2 2014-07-13 --
And they are back on Flash EK

Windigo Back on Flash EK
2014-07-13

----

Read More :
Operation Windigo (PDF) - 2014-03 - Eset
Meet Safe Pack (v2.0)... Again :) - 2013-04-21
Meet CritXPack (Previously Vintage Pack) - 2012-11-12