martes, 5 de diciembre de 2017

#Alerta #Malware CLARO Tienes una factura sin pagar! Factura #4489790


En el día de hoy se esta realizando una campaña de phishing que esta propagando un malware que afecta a entidades Bancarias de Chile.





hxxps[:]//bit[.]do/dVy4h

Se está utilizando el siguiente enlace corto para descargar un zip con un .js en su interior que se encuentra codificado con una simple ofuscación de ascii - > Hex -> Text y en otros casos de Hex -> text






El Javascript descarga un jpg de un sitio vulnerado, para luego renombrarlo y ejecutarlo con rundll32.exe


hxxp[:]//www.kabobpalace[.]ca/wp-content/plugins/klaaaaa[.]jpg 




Detección en VirusTotal  7/67



Se ejecuta en el sistema de la siguiente manera.

rundll32.exe C:\\ProgramData\\KLJ5TUXBGXY941Z\K9JR7C34N3372CD.dij,_a

El cuerpo del troyano tiene cadenas ofuscadas.





Podemos obtener de ellas los siguientes strings interensantes

<|Folder|>
<|Files|>
<|DownloadFile|>
<|UploadFile|>
VALOR - 
TASKKILL /F /
Internet
Google
Mozilla
TASKKILL /F /]
En este momento estamos efectuando una modificacion

En este momento no podemos atenderlo
Hola, Enviamos un codigo como simulacion de transaccion
Su sistema será reiniciado
Los datos ingresados son incorrectos
Ingrese el codigo
\Software\Microsoft\Windows\CurrentVersion\Run
chile.ddns.com.br

Por otro lado podemos obtener las imagenes falsas que se le presentan a la victima para robar los datos de la tarjeta de coordenadas o tokens que se utilizan para realizar las transferencias.
































































Es todo por el momento @Dkavalanche 2017

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!