lunes, 28 de octubre de 2013

PICEBOT - El regreso.


Vuelve a aparecer una nueva campaña con PiceBot, un malware que realiza pharming local con el fin de redirigir a las victimas a sitios de phishing. En este caso afecta a entidades bancarias de Chile y Perú.

Correo Phishing.


Icono del malware.



Análisis en V.T. con un indice muy bajo en detecciones.


Con Ollydbg cargamos la muestra del malware y ponemos los siguientes BP para poder llegar al troyano sin ofuscar (dump)

IsDebuggingPresent (.........la parcheamos)


WriteProcessMemory



Strings interesantes en el Dump.


00401C08   DD picebot.004028E0                       UNICODE "687474703A2F2F3139322E3231302E3230312E3132342F64622F" 
http://192.210.201.124/db/
00401C20   DD picebot.00402988                       UNICODE "5C696578706C6F7265722E657865" \iexplorer.exe
00401C2C   DD picebot.004029DC                       UNICODE "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473" 
C:\WINDOWS\System32\drivers\etc\hosts

746F6D612E7068703F4F733D        toma.php?Os==
64622F75726C5F6465732E747874    db/url_des.txt
433A5C57494E444F57535C73797374656D33325C57696E7465722E657865 C:\WINDOWS\system32\Winter.exe
433A5C57494E444F57535C696578706C6F7265722E657865 C:\WINDOWS\iexplorer.exe



Accediendo a la configuración del pharming con malzilla
URL: http://192.210.201.124/db/toma.php?Os==





Panel de la Botnet



Muestra https://dl.dropboxusercontent.com/u/80008916/Picebot-28-10-13.rar

Password = infected.



Es todo por el momento.


@Dkavalanche 2013.






No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!