lunes, 12 de mayo de 2014

Falsa Intimación de audiencia, Troyano Proxy Changer-

Hoy les traigo un troyano de origen Brasileño que al infectar a la victima, este cambia la configuración de red del browser para re dirigirlos a sitios falsos de phishing para captura de credenciales: Hotmail, PayPal, caixaeconomica, citibank, caixa, pagseguro.uol, live, facebook, bancobradesco, etc

Correos falsos enviados a las victimas.





https://www.virustotal.com/es/file/69513dae2d9e228285124c91a567b50fcdfec6802d37c505c2f84f4adcfc15bf/analysis/1399642976/

SHA256:69513dae2d9e228285124c91a567b50fcdfec6802d37c505c2f84f4adcfc15bf
Nombre:Visualizar_Intimacao140514.exe
Detecciones:23 / 52
Fecha de análisis:2014-05-09 13:42:56 UTC ( hace 3 días )
Rutina antiDebugging 
 IsDebuggerPresent 




Se observan cadenas codificadas.

058FD98 'GET'
 0059210C '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz+/'
 005924AC 'KtbpT6LjKczlT0'
 005924D8 'N45ZT6bsPIvYONG'
 00592504 'G6LZQ6yWRsPc'
 0059252C 'ScLdBcLuPI11H4GW8aXBGrLSKszcT7TXScLSJMbZSczpRsPqN5TfRcHlTtDSGtLoScLkT5PbSdDfRsvSIMvqPN9kPNGWKsLqT6bkPtCY82zs845rT6z3RsvcQMTLScmWBsGW9J4WBsO'
 00592650 'ScLdBcLuPI11H4GW8aXBJ4rSKszcT7TXScLSJMbZSczpRsPqN5DbOtLoQNHv84DbRdHbSY8WBtOWHcboPNTXR6n4QNDXOcnbJczqQMPv82zq8595Hrz4LqzIH20lP20mU30mC30mC30n82zc'
 00592780 'ScLdBcLuPI11H4GW8aXBJ4rSKszcT7TXScLSJMbZSczpRsPqN5DbOtLoQNHv84DbRdHbSY8WBtOWLN1aONHbSqHfSs5YR6LERtHfPdaWBtGWKaL7NqHNJr9482za831uC30mC30mC34WBsO'
 00592C08 '82zZ80'
 00592C24 'KtbpT6LjKczlT0'
 00592C50 'N45ZT6bsPJ8kOc5q80'
 00592C84 'GL1GH45KGG'
 00592CA8 'N4rlUcbiR65SHcboPMPlU5nGSczcQMnbSm'
 00592CFC 'N45ZT6bsPJ8kOc5q'
 00592D2C 'OsGWBqGW8YL1K514GLH19LnDRtffR6nXN4PfScLcRtXSK79lPcbiPNCY'
 00592DAC 'OsGWAYvaPMPXTMnq'
 00592DDC 'SsLq86PVOM8z9MDa9G'
 00592E10 'PMDeRo1rSsLoNt1oPMOe8cvbT7TlScikS79lU7akONLqRsDlRcPfPrzrScmYB20Y9J4YAJi+FY8bPbzXOYLSS79bPdCkQdCY'


La rutina Decodificadora comienza en   00591FD0  /$ 55             PUSH EBP




Poniendo los BP en donde corresponde podemos obtener los strings decodificados en el Stack.














La rutina esta basado en encoded en base64 mas un salt.

http://www.delphipages.com/forum/archive/index.php/t-133728.html


const
Codes64 = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz+/';

function Encode64(S: string): string;
var
i: Integer;
a: Integer;
x: Integer;
b: Integer;
begin
Result := '';
a := 0;
b := 0;
for i := 1 to Length(s) do
begin
x := Ord(s[i]);
b := b * 256 + x;
a := a + 8;
while a >= 6 do
begin
a := a - 6;
x := b div (1 shl a);
b := b mod (1 shl a);
Result := Result + Codes64[x + 1];
end;
end;
if a > 0 then
begin
x := b shl (6 - a);
Result := Result + Codes64[x + 1];
end;
end;

function Decode64(S: string): string;
var
i: Integer;
a: Integer;
x: Integer;
b: Integer;
begin
Result := '';
a := 0;
b := 0;
for i := 1 to Length(s) do
begin
x := Pos(s[i], codes64) - 1;
if x >= 0 then
begin
b := b * 64 + x;
a := a + 6;
if a >= 8 then
begin
a := a - 8;
x := b shr a;
b := b mod (1 shl a);
x := x mod 256;
Result := Result + chr(x);
end;
end
else
Exit;
end;
end;


Les dejo mas abajo el decoder en delphi para la descarga.



El troyano se conecta al siguiente servidor y este le responde con un string codificado que sera la configuración a cambiar en el proxy del navegador.

0012FDE8  |00BCB5BC  UNICODE "http://www.agoracadastre.com.br/proxy/RRU8PAYVBF2U412715V3/"
0012FDEC  |00BCB4FC  UNICODE "?MD5=be84e40f0fb2cd36ce74bd9c0d1df90d"


String entregado por el servidor

"Q7HqS3elBp4vCYunEJWkE3akCJauBr9ILJXGGLbMGaOoLJGnCZSnDLOpBd1XOm"



Desencriptado queda:

 |00BCB67C  UNICODE "http://192.198.89.198/RRU8PAYVBF2U412715V3.pac"







Configuración de Red del navegador. (usar Scripts de configuración automática)



Navegador redirigido a un sitio de phishing.






Muestra: https://www.dropbox.com/s/jx26orkjvyoxqop/ProxyChanger%2009-05-14.rar

Decoder: https://www.dropbox.com/s/kthppdb512lsf2s/DelphiDecript.rar


Eso fue todo por el momento.




@Dkavalanche 2014


 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!