jueves, 1 de marzo de 2012

Troyano de Formulario II, Falso Comprobante de deposito.

En el día de hoy, me acercaron un correo sospechoso, el cual intentaba, mediante ingeniería social, que descarguemos un documento PDF, que en realidad es un ejecutable.



Link del ejecutable en un servidor comprometido (hackeado).

hxxp://www.opinionsearch.com/.trash/x1/Comprobante-142534567-pdf-c4c.exe

Examen en VT, con un indice bajo de detección

SHA256: e93430c0b6b426e87c7d7637a8f985c166e09e324c4bb359398802fd6f2a1930



Este ejecutable resulta ser un Downloader que nos descargara otra amenaza.

Esta amenaza esta alojada en otro servidor comprometido, como un .gif, 
en realidad resulta ser ejecutable que el downloader se encargara de renombrar y ejecutar para infectar la PC con el troyano bancario.

hxxp://www.rafaelrosa.com.br/rafaelrosa/fotos/1/1/.b/a1.gif

Analizamos en VT y también tiene un indice bajo de detección

https://www.virustotal.com/file/fb32b90e8bd399d60ba377a482fc6fcaa3786578c61256dbce55bfbf76f5399e/analysis/1330615334/

.

El ejecutable esta compactado con UPX y compilado en Delphi 2010.





Analizando un poco mas en profundidad se pueden observar las URL's que el
troyano monitorea, para cuando se accede a cualquiera de ellas el navegador
es minimizado y un falso formulario que simula ser la entidad bancaria 
es mostrado, esto es realizado en una fracción de segundo que a los
ojos no muy entrenados pasa desapercibido.
Con lo que la victima ingresara sus datos sobre el troyano y no en la web del
banco.




Se puede observar que este malware afecta a las siguientes entidades bancarias Argentinas:

Banco Macro
Banco Galicia
Banco Comafi
Patagonia
Banco Itau
Standard Bank


Pidiendo datos sensibles y todas las coordenadas de la T.C.



Algunos de los formularios desplegados.









Los datos son enviados a un .php en sitio comprometido.


hxxp://xxx-club.com/forum/language/en/postien.php







Contador de visitantes (?)


hxxp://184.105.229.146/ar/co.asp







Si lo cuento no me lo creen..... terrible LFI.....en la web comprometida...












Eso es todo por hoy.... Saludos!
@Dkavalanche  2012



No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!