sábado, 23 de agosto de 2014

Volvió Citadel: Falso Video Porno de Greisy Ulloa y cómico Edwin Sierra 

Hace tiempo que no me topaba con una nueva campaña del Crimenware Citadel. Tal cual como hemos visto en entregas anteriores, se apela a ingeniería social para atrapar a los incautos.  






Descarga del archivo ejecutable.



Icono de la amenaza, que parece ser un reproductor de video.



Analisis en V.T.



Esta encapsulado con un crypter en Visual Basic.



Aquí en el Dump, un String que hace mención al reconocido investigador Brian Krebs




Strings.

0040A1E0   ASCII "GET ",0
0040A1E8   ASCII "POST ",0
0040A1F0   ASCII "FAIL",0
0040A1F8   ASCII ".swf",0
0040A200   ASCII ".flv",0
0040A208   ASCII "facebook.com",0
0040A21C   ASCII "%BOTID%",0
0040A224   ASCII "%BOTNET%",0
0040A230   ASCII "%BC-*-*-*-*%",0
0040A240   ASCII "%VIDEO%",0
0040A248   ASCII "Cookie: %s

00401C50   ASCII "api",0
00401C54   ASCII "cmd",0
00401C58   ASCII "C1F20D2340B51905"
00401C68   ASCII "6A7D89B7DF4B0FFF"
00401C78   ASCII 0
00401C7C   UNICODE ".exe",0
00401C88   ASCII "update.exe",0
00401C9C   ASCII "config.bin",0
004026A0   UNICODE "ll",0
004026A8   ASCII "cookie_module",0
004026B8   ASCII "cit_ffcookie.mod"
004026C8   ASCII "ule",0
004026CC   ASCII "video_module",0
004026DC   ASCII "cit_video.module"
00403D80   DD Dumped9.00409F98                       UNICODE "Microsoft"
00403D84   DD Dumped9.00409F70                       UNICODE "Microsoft"
00403D88   DD Dumped9.00409F44                       UNICODE "Microsoft"
00403D8C   DD Dumped9.00409F24                       UNICODE "ESET"
00403D90   DD Dumped9.00409F04                       UNICODE "ESET"
00403D94   DD Dumped9.00409EE8                       UNICODE "AVG"
00403D98   DD Dumped9.00409ECC                       UNICODE "AVG"
00403D9C   DD Dumped9.00409EB0                       UNICODE "AVG"
00403DA0   DD Dumped9.00409E8C                       UNICODE "AntiVir"
00403DA4   DD Dumped9.00409E68                       UNICODE "avast!"
00403DA8   DD Dumped9.00409E3C                       UNICODE "Kaspersky"
00403DAC   DD Dumped9.00409E14                       UNICODE "Kaspersky"
00403DB0   DD Dumped9.00409DEC                       UNICODE "Norton"
00403DB4   DD Dumped9.00409DC4                       UNICODE "Symantec"
00403DB8   DD Dumped9.00409DA0                       UNICODE "Symantec"
00403DBC   DD Dumped9.00409D74                       UNICODE "Symantec"
00403DC0   DD Dumped9.00409D50                       UNICODE "Symantec"
00403DC4   DD Dumped9.00409D20                       UNICODE "McAfee"
00403DC8   DD Dumped9.00409CF0                       UNICODE "McAfee"
00403DCC   DD Dumped9.00409CE0                       UNICODE "McAfee"
00403DD0   DD Dumped9.00409CB8                       UNICODE "SafenSoft"
00407C64   UNICODE "ComSpec",0
00407C74   ASCII "Mozilla/4.0 (com"
00407C84   ASCII "patible; MSIE 7."
00407C94   ASCII "0; Windows NT 5."
00407CA4   ASCII "1; SV1)",0
00407CAC   ASCII "POST",0
00407CB4   ASCII "GET",0
00407CB8   ASCII "Connection: clos"
00407CC8   ASCII "e
",0
00407CCC   ASCII "urlmon.dll",0
00407CD8   ASCII "ObtainUserAgentS"
00407CE8   ASCII "tring",0
00407D08   UNICODE "S:(ML;;N"
00407D18   UNICODE "RNWNX;;;"
00407D28   UNICODE "LW)",0
00407D30   UNICODE "SeSecuri"
00407D40   UNICODE "tyPrivil"
00407D50   UNICODE "ege",0
00407D58   UNICODE "S:(ML;CI"
00407D68   UNICODE "OI;NRNWN"
00407D78   UNICODE "X;;;LW)",0
00407DEC   ASCII "wxz",0
00407DF0   ASCII "aeiouy",0
00407DF8   UNICODE "Global\",0
00407E08   UNICODE "Local\",0

00409C50   ASCII "GAEZ",0
00409C74   ASCII "71:> &2",0
00409CB8   UNICODE "SafenSof"
00409CC8   UNICODE "t",0
00409CCC   UNICODE "SysWatch"
00409CDC   UNICODE 0
00409CE0   UNICODE "McAfee",0
00409CF0   UNICODE "McAfee",0
00409CFE   UNICODE "Security"
00409D0E   UNICODE " Center",0
00409D20   UNICODE "McAfee",0
00409D2E   UNICODE "Security"
00409D3E   UNICODE "Center",0
00409D50   UNICODE "Symantec"
00409D60   UNICODE 0
00409D62   UNICODE "Client",0
00409D74   UNICODE "Symantec"
00409D84   UNICODE 0
00409D86   UNICODE "Protecti"
00409D96   UNICODE "on",0
00409DA0   UNICODE "Symantec"
00409DB0   UNICODE 0
00409DB2   UNICODE "Shared",0
00409DC4   UNICODE "Symantec"
00409DD4   UNICODE 0
00409DD6   UNICODE "Security"
00409DE6   UNICODE 0
00409DEC   UNICODE "Norton",0
00409DFA   UNICODE "Protecti"
00409E0A   UNICODE "on",0
00409E14   UNICODE "Kaspersk"
00409E24   UNICODE "y",0
00409E28   UNICODE "Security"
00409E38   UNICODE 0
00409E3C   UNICODE "Kaspersk"
00409E4C   UNICODE "y",0
00409E50   UNICODE "Anti-Vir"
00409E60   UNICODE "us",0
00409E68   UNICODE "avast!",0
00409E76   UNICODE "Antiviru"
00409E86   UNICODE "s",0
00409E8C   UNICODE "AntiVir",0
00409E9C   UNICODE "Desktop",0
00409EB8   UNICODE "Monitor",0
00409ED4   UNICODE "Service",0
00409EF0   UNICODE "Security"
00409F00   UNICODE 0
00409F04   UNICODE "ESET",0
00409F0E   UNICODE "Security"
00409F1E   UNICODE 0
00409F24   UNICODE "ESET",0
00409F2E   UNICODE "Antiviru"
00409F3E   UNICODE "s",0
00409F44   UNICODE "Microsof"
00409F54   UNICODE "t",0
00409F58   UNICODE "Inspecti"
00409F68   UNICODE "on",0
00409F70   UNICODE "Microsof"
00409F80   UNICODE "t",0
00409F84   UNICODE "Malware",0
00409F98   UNICODE "Microsof"
00409FA8   UNICODE "t",0
00409FAC   UNICODE "Security"
00409FBC   UNICODE 0
00409FC0   ASCII "GetProcAddress",0
00409FD0   ASCII "LoadLibraryA",0
00409FE0   ASCII "NtCreateThread",0
00409FF0   ASCII "NtCreateUserProc"
0040A000   ASCII "ess",0
0040A004   ASCII "NtQueryInformati"
0040A014   ASCII "onProcess",0
0040A020   ASCII "RtlUserThreadSta"
0040A030   ASCII "rt",0
0040A034   ASCII "LdrLoadDll",0
0040A040   ASCII "LdrGetDllHandle",0
0040A050   ASCII ".reloc",0
0040A060   UNICODE ".dat",0
0040A06C   ASCII "RFB 003.003
",0
0040A07C   ASCII "RFB ",0
0040A08C   UNICODE ".txt",0
0040A10C   ASCII "https://",0
0040A118   ASCII "User-Agent",0
0040A124   ASCII "Cookie",0
0040A12C   ASCII "Accept-Language",0
0040A13C   ASCII "Accept-Encoding",0
0040A14C   ASCII "HTTP/1.",0
0040A154   ASCII "Transfer-Encodin"
0040A164   ASCII "g",0
0040A168   ASCII "chunked",0
0040A170   ASCII "Connection",0
0040A17C   ASCII "close",0
0040A184   ASCII "Proxy-Connection"


Analisis Dinámico (dumpit! + volatility)


Volatility


pslist

Offset(V)  Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x81bc97c0 System                    4      0     56      661 ------      0
0x81952b10 smss.exe                528      4      3       19 ------      0 2014-08-22 20:45:49 UTC+0000
0x81954b60 csrss.exe               592    528     11      378      0      0 2014-08-22 20:45:50 UTC+0000
0x819abb60 winlogon.exe            616    528     19      261      0      0 2014-08-22 20:45:50 UTC+0000
0x81a5aad0 services.exe            668    616     16      247      0      0 2014-08-22 20:45:50 UTC+0000
0x81a4a748 lsass.exe               680    616     25      349      0      0 2014-08-22 20:45:50 UTC+0000
0x81a0f020 svchost.exe             880    668     18      212      0      0 2014-08-22 20:45:51 UTC+0000
0x81904da0 svchost.exe             956    668      9      220      0      0 2014-08-22 20:45:51 UTC+0000
0x81a04c30 svchost.exe            1048    668     76     1312      0      0 2014-08-22 20:45:51 UTC+0000
0x81a1b428 svchost.exe            1108    668      7       81      0      0 2014-08-22 20:45:51 UTC+0000
0x8191f020 svchost.exe            1136    668     15      201      0      0 2014-08-22 20:45:52 UTC+0000
0x818e4230 explorer.exe           1508   1472     31      648      0      0 2014-08-22 20:45:53 UTC+0000
0x818fc318 spoolsv.exe            1612    668     14      116      0      0 2014-08-22 20:45:54 UTC+0000
0x819c9da0 smsniff.exe             360   1508      3       79      0      0 2014-08-22 20:46:03 UTC+0000
0x819aebe0 wuauclt.exe             452   1048      8      143      0      0 2014-08-22 20:46:06 UTC+0000
0x819c5980 alg.exe                1240    668      6      101      0      0 2014-08-22 20:46:07 UTC+0000
0x819c4c10 udpi.exe                796    720      0 --------      0      0 2014-08-22 20:47:21 UTC+0000   2014-08-22 20:47:26 UTC+0000
0x81947020 DumpIt.exe             1428   1508      2       57      0      0 2014-08-22 20:48:37 UTC+0000


Conexiones activas en el pid 1508, que corresponde a explorer.exe

Offset(P)  Local Address             Remote Address            Pid
---------- ------------------------- ------------------------- ---
0x01d8ed80 10.0.2.15:1041            23.228.250.83:80          1508
0x01d8f418 10.0.2.15:1037            23.228.250.83:80          1508


Se deshabilita el firewall de windows.

C:\Python27\Scripts>vol.py -f memory.dmp printkey -K "ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile"
Volatility Foundation Volatility Framework 2.4
Legend: (S) = Stable   (V) = Volatile

----------------------------
Registry: \Device\HarddiskVolume1\WINDOWS\system32\config\sysftem
Key name: StandardProfile (S)
Last updated: 2011-07-15 21:12:13 UTC+0000

Subkeys:
  (S) AuthorizedApplications

Values:
REG_DWORD     EnableFirewall  : (S) 0
REG_DWORD     DoNotAllowExceptions : (S) 0
REG_DWORD     DisableNotifications : (S) 0

REG_DWORD     DisableUnicastResponsesToMulticastBroadcast : (S) 0


Buscando strings en el dump de la memoria de la pc infectada.


El troyano realiza un escaneo de la configuración de la pc que es enviado al atacante.


1180 Console                 0     3.876 KB
tasklist.exe                1772 Console                 0     5.268 KB
==========[ C:\Documents and Settings\Administrador ]>ipconfig /all
Configuraci
n IP de Windows
        Nombre del host . . . . . . . . . : Equipo01
        Sufijo DNS principal  . . . . . . : 
        Tipo de nodo . . . . . . . . . .  : desconocido
        Enrutamiento habilitado. . . . . .: No
        Proxy WINS habilitado. . . . .    : No
Adaptador Ethernet Conexi
n de 
rea local          :
        Sufijo de conexi
n espec
fica DNS : 
        Descripci
n. . . . . . . . . . .  : Adaptador Ethernet PCI AMD PCNET Family
        Direcci
n f
sica. . . . . . . . . : 08-00-27-80-70-30
        DHCP habilitado. . . . . . . . .  : No
        Autoconfiguraci
n habilitada. . . : S
        Direcci
n IP. . . . . . . . . . . : 10.0.2.15
        M
scara de subred . . . . . . . . : 255.255.255.0
        Puerta de enlace predeterminada   : 10.0.2.2
        Servidor DHCP . . . . . . . . . . : 10.0.2.2
        Servidores DNS . . . . . . . . . .: 10.0.2.3
        Concesi
n obtenida . . . . . . .  : viernes, 22 de agosto de 2014 17:45:52
        Concesi
n expira . . . . . . . . .: s
bado, 23 de agosto de 2014 17:45:52
==========[ C:\Documents and Settings\Administrador ]>netsh firewall set opmode disable
Aceptar
==========[ C:\Documents and Settings\Administrador ]>
==========[ C:\Documents and Settings\Administrador ]>exit
C:\WINDOWS\Explorer.EXE$'
Microsoft Corporation | Sistema operativo Microsoft
 Windows
 | 6.00.2900.5512
Equipo01\Administrador"'
0pP/
;^<*


Comando y control

http://nrgg1731.ru/cphouse/file.php|file=soft.exe#N
http://nrgg1731.ru/cphouse/gate.php2N
http://nrgg1731.ru/cphouse/file.php$N
http://poroto6a.ru/cph
ouse/file.
=con
.dll
hostname
tasklist
ipconfig /all
netsh firewall set opmode disable

#*wellsfargo.com/*
@*payment.com/*
!http://*.com/*.jpg
*facebook.com/*
*antivirus*=209.85.22

http://poroto666bbb.ru/cphouse/file.php|file=config.dll
http://nrgg1731.ru/cphouse/file.php|file=config.dll

Peru-Panama














Muestra:https://dl.dropboxusercontent.com/u/80008916/Citadel-22-08-14.zip




Es todo por el momento @Dkavalanche 2014



lunes, 4 de agosto de 2014

Troyano Brasileño roba cientos de datos.


Aquí con UDs. otra muestra de este ya conocido troyano Screen Overlay, esta vez se ha encargado de robar ciento de datos de todo tipo, ya sea bancarios (ITAU, Caixa, Banco do Brasil) como de cuentas de correo de hotmail, gmail, uol, yahoo, pop3, . Estos datos son dejados en un servidor en la nube sin ningun tipo de cifrado de datos por lo que pueden ser leídos por cualquier curioso...
Gracias a Raul por el envío de este malware.


Downloader:

Analisis en V.T. del archivo adjunto


Se trata de un .CPL compilado en Delphi7.


Algunos Strings interesantes:

 004917AC 'Brasil'
 004917BC 'E473BA5D9C48FB27D679AD3790C3DA67995994B66D934F'
 004917F4 '\\Desk'
 00491804 'Settings\\'
 00491818 '\\D'
 00491824 '\\'
 00491830 'D'
 0049183C 'a'
 00491848 'd'
 00491854 'o'
 00491860 's'
 0049186C ' '
 00491878 'e'
 00491884 'aplicativos\\'
 0049189C 'Users\\'
 004918AC '\\AppData\\Roaming\\'
 004918C8 ':\\'
 004918D4 '79BB689F5EDA5CC6BAC0CCC2C1C3C8B3BDBAB1A89185FC7EE0246CA3'
 00491918 '88E2403B'
 0049192C '78BB78E517D210'
 00491944 '222F262FCD67FE1C2CBB3DBE37BE37C346DB698EADB148DD628CE87DF977FE61E9738BA7A6B03DB632B6274CE469'
 004919AC 'F079'
 004919BC ':\\Windows\\System32\\REGSVR32.EXE  \"'
 004919E0 '2.jpg\"'
 004919F0 '57D7'
 004919F8 '6.jpg\"'
 00491A08 'C5A0'
 00491A10 '5.jpg\"'
 00491A20 '5.jpg'
 00491A30 '5.txt'
 00491A40 ':\\Windows\\System32\\cmd.exe /k regsvr32.exe  \"'
 00491A78 '\"'
 00491A84 '2.jpg'
 00491A94 '2.txt'
 00491AA4 '6.jpg'
 00491AB4 '6.txt'


Cadenas codificadas:

E473BA5D9C48FB27D679AD3790C3DA67995994B66D934F
79BB689F5EDA5CC6BAC0CCC2C1C3C8B3BDBAB1A89185FC7EE0246CA3
88E2403B
78BB78E517D210
222F262FCD67FE1C2CBB3DBE37BE37C346DB698EADB148DD628CE87DF977FE61E9738BA7A6B03DB632B6274CE469

Decodifican como:

Documents and Settings
http://198.23.250.211/2107/
058
id.sys
SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

Este downloader descarga tres amenazas mas desde http://198.23.250.211/2107/



2.txt (es un cpl que es cargado en memoria por el downloader)


Analisis en V.T. 




Cadenas codificadas:

62F138EF1BCF6880B9EA0444831DA73AC47EE1721CE0634C874
36CB769B87A84EF668F9588D
0830C97B9042F228C40B4094F76CE2191223CC
223FF821D77BCD5E8CC803CF084690B88D84B05E8BBA5491
BA7EB46A81B176964369BC80F4F8FC4659DA94A89A2
7EEB4427C173B335886
48C1739546E918C3CA1C6024E9A30
59EE09281839FE210257F3D63
20D86293B86A9A40EC5388CCCF044AFE788D59
D442FB26D070C641E96AECD972EC6983F66A96B15F96BF7D
54E70EC169995E8E4E83D0074787C3C7DB540F022CB7EA571953794CD0D4EF76D9C47F3
14072DE2063AFE29D0C332AB2FAD2ED568DF543FC473A55E85C4110976E76DE2063EFA
25026AC97CA94AE61704051D5FF94DFF39F20D66E40933C97FDB63
BB4DF719092ECB74EF61E77D
3FFB0530DD0F27D47BDD73E723B118CCAF45EE
1C053EE41336000826A6212EAE2FAB443120DC0A27DE0825
39F83FF018C8618B4D9CC9005EF06684B3243F525CE71A849FF5989D4044E8AC762
C3579D51F829C16A9380F660FB5080A75A2D0368E71037CF73ED39449530A826C4
83EC4526C072B25981
53DE57CCB4A788F569ADD373E5AA6E4
F1002CE31A16130F0D75939FF0C739880E74E3251D1C150C3CFD184E8A80D90A5F9D5A85F52CDC74
27D512C578F076E857A33EF266A95FA65C2A48BF767DA42F42660FA4C4297CF0E3DD548FE2DD5
53DE57CCB4A788F569ADD73E5ABAD7
E013DF17C946231F1D65A9EF1C63A890979F948E28D84FB0CCDC9CE3C4D4492C5649C5C8DF12AAB2C
7BB976A954CCAD918FFB00167A858AF270F67CE656CBB247F4117693F21AB022DF0F3C2CD677DE
2B0667DC45343F201B61BBD4385E
F40723D40B0760C2BEC4C8CE3D42493330363D252140D7484B5D10452B822B228D4033E2AD071D8
F938F42AD44D2A1408729EF41B64AB9592949B87F66AD16497F35D868CC114B258F26D9B4EF6
011FD679A04CE71BC3205114A8DC6DF7A8AA9472FB22CE0A
B05E9B5389B049FD33CAB
A0A6B257F527CCA314B8397C00344789A55291A35188BC51
222DF813DC17785
C04CE70E3CE000A
52F461
73958EBD6w0E61EDF0C35B9931A722B2689AA1
0D2CC8B56e7A240
2BCE6BDA003BF8
29CB18CF0E0A6FD348B2DE355BA4EB54D352D9403F3229DB1D79ED6AA03AAA20DC1BC6B2699933
63915E914CC44A59987F3187E828D82FA78FE74EE6EE35BED2B6FA8E5276EF86C9E5980A99D469738
985B974FF16ECBB7A5ED1278848B80F87EF87EE454CDB447F2174F8D85DE75EA11CF73E712329B

Decodifican como:

Internet Explorer_Server
[bb.com.br]
bancobrasil.com.br
Caixa Econômica Federal
internetbankingcaixa
30 horas
Sicredi Total
[bb.com.br]
bancobrasil.com.br
Caixa Econômica Federal
internetbankingcaixamozillafirefox
Internet Banking - Mozilla Firefox
30 horas - Mozilla Firefox
[bb.com.br]
bancobrasil.com.br
Caixa Econômica Federal
internetbankingcaixagooglechrome
Internet Banking - Google Chrome
30 horas
1xx.xx.xx.xxx6  (x eliminado por seguridad)
http://1xx.xx.xx.xxx6/av/ad/acesso.php
http://1xx.xx.xx.xxx6/ct/my/manda.php
http://1xx.xx.xx.xxx6/av/058/acesso.php
http://1xx.xx.xx.xxx6/ct/058/manda.php
http://1xx.xx.xx.xxx6/av/af/acesso.php
http://1xx.xx.xx.xxx6/ct/va/manda.php
Documents and Settings
Settings\
\Dados de aplicativos\
Users\
Users\
\D
\AppData\Roaming\
id.sys
id.sys
http://1xx.xx.xx.xxx6/av/ad/acesso.php
http://1xx.xxx.xx1.xx/av/058/acesso.php
http://1xx.9xx.1xx.1xx/av/af/acesso.php


Imágenes de los formularios falsos invocados por la amenaza.


















Datos guardados en el servidor mediante manda.php



Datos encontrados en el servidor:

Gmail

Uol

Datos Bancarios/Boletos



5.txt  (es un cpl que es cargado en memoria por el downloader)

Analisis en V.T. 


Strings:

 00489DF0 'ServletGeraImg?acao=barra'
 00489E14 '984'
 00489E20 'codbar'
 00489E30 '987'
 00489E3C 'CodigoBarra'
 00489E50 'op=bolas'
 00489E64 'log='
 00489E74 'sen='
 00489E84 '  30/07'
 00489E94 'vlr='
 00489EA4 'dts='
 00489EB0 'sit=\07??'


Codigo Javascript


Este troyano estaría relacionado con el robo de Boletos, que es un método de pago muy popular en Brasil.

Pueden leer la nota sobre este tema en el blog de Kaspersky


El truco no es complicado, explicó Bestúzhev. Mientras un usuario está imprimiendo su Boleto, un troyano en el ordenador de la víctima modifica el código de barras del Boleto. Entonces, el Boleto impreso es inservible. El criminal utiliza después el código de barras legítimo del Boleto para transferir dinero a su propia cuenta.



6.txt  (es un cpl que es cargado en memoria por el downloader)

Analisis en V.T. 


Strings:
 0047FFB0 'op=fc'
 0047FFC0 'log='
 0047F3CC 'L-O-O-K'
 0047FD58 'Documents and Settings'
 0047FD78 '\\Desk'
 0047FD88 'u8v7DgLUz2nC'
 0047FDA0 'xeq'
 0047FDAC 'xerHzg6ZigrLigfWBgLJyxrPDM6Zxa'
 0047FDD4 'vxnLCNnC'
 0047FDE8 '\\AppData\\Roaming\\'
 0047FE04 'i'
 0047FE10 'Password:'
 0047FE3C 'Fimsmtp'
 0047FE78 'id.sys'
 0047FE88 'al'
 0047FE94 'Ahr7CdOV
 0047C114 'dbx'
 0047C120 'wab'
 0047C408 '*.dbx'
 0047C418 'C:\\'
 0047C424 'dbx'
 0047C430 '*.wab'
 0047C440 'wab'
 0047C44C '*.mbx'
 0047C45C 'mbx'
 0047C468 '*.mai'
 0047C478 'mai'
 0047C484 '*.eml'
 0047C494 'eml'
 0047C4A0 '*.tbb'
 0047C4B0 'c:\\'
 0047C4BC 'tbb'
 0047C4C8 '*.mbox'
 0047C4D8 'mbox'
 0047C9BC 'ps'
 0047C9C8 'to'
 0047C9D4 're'
 0047C9E0 'c.'
 0047C9EC 'dl'
 0047C9F8 'l'


Decodifican como:
 \Software\Microsoft\Internet Account Manager\Accounts
Identi
Account Name
Account Name
Nome  .....: 
SMTP Display Name
Login .....: 
POP3 User Name
Senha .....: 
POP3  .....: 
POP3 Server
SMTP  .....: 
SMTP Server
Nome  .....: 
2l3oþ%HROM€˜þ-‚ŽD
Login .....: 
POP3 User Name
Senha .....: 
POP3  .....: 
POP3 Server
SMTP  .....: 
SMTP Server

Este modulo se encarga de robar datos de POP3, IMAP





Muestra:  https://www.dropbox.com/s/lter3agprah9pcl/banker-02-08-14.rar




Eso es todo por el momento.

@Dkavalanche 2014

#Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...