Las postales virtuales son un método utilizado frecuentemente por los cybercriminales para poder
engañar mediante ingeniería social a los desprevenidos e infectarlos con software malicioso.
En el día de hoy me llego un correo fraudulento que utiliza este tipo de ardid.
Si clickeamos cualquiera de los links nos llevara a otra pagina que simula ser una web de postales muy conocida..
Esta web requerirá instalar una nueva versión del adobe flash player para poder ver la postal, lo cual sin mas ni menos, se trata de un troyano.
Link del php.
hxxp://photopaq.com/actualidad/actualizacion/adobe_flash/Adobe_flash_player.php
Download del troyano.
hxxp://photopaq.com/actualidad/actualizacion/adobe_flash/Adobe_flash_player.exe
El examen de Virus Total nos entrega el siguiente resultado:
SHA256: 3c719eb459876eee85556c3f2b3128c643584d9ec01c5a5c7871228e3a0af9df
Detection ratio: 13 / 42
Haciendo un examen mas exhaustivo en una V.M. con ayuda de OllyDbg y otras herramientas, llego a la conclusión que se trata de un troyano pertenece a la Botnet V0lks.
0015FD04 62 00 79 00 76 00 4F 00 b.y.v.O.
0015FD0C 6C 00 6B l.k
0012FA04 |0015FC2C ASCII "byvOlk"
Desencriptado de la URL del Control Panel de la Botnet, dentro del cuerpo del troyano:
0016002C 9D 07 18 00 5A 00 00 00 .Z...
00160034 68 00 74 00 74 00 70 00 h.t.t.p.
0016003C 3A 00 2F 00 2F 00 62 00 :././.b.
00160044 61 00 73 00 74 00 65 00 a.s.t.e.
0016004C 6E 00 79 00 63 00 68 00 n.y.c.h.
00160054 69 00 6E 00 6F 00 61 00 i.n.o.a.
0016005C 6D 00 6F 00 72 00 65 00 m.o.r.e.
00160064 73 00 66 00 6F 00 72 00 s.f.o.r.
0016006C 65 00 76 00 65 00 72 00 e.v.e.r.
00160074 2E 00 63 00 6F 00 6D 00 ..c.o.m.
0016007C 2F 00 49 00 6E 00 73 00 /.I.n.s.
00160084 74 00 50 00 61 00 6E 00 t.P.a.n.
0016008C 65 00 00 00 e...
C&C Bot Panel
http://bastenychinoamoresforever.com/InstPanel/
Modificaciones del Registro para auto-ejecutarse en cada inicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru\Microsofts: "C:\WINDOWS\system\csrcs.exe"
El troyano una vez instalado en el sistema, se comunica con el C&C a la espera de comandos, uno de ellos es cambiar el archivo .host de la pc, para poder redireccionar al usuario a una web fraudulenta sin que este lo sepa.
En este caso se efectúa un pharming sobre bancos del Perú.
Host Pharming.
199.119.226.67 viabcp.com.pe
199.119.226.67 www.viabcp.com.pe
199.119.226.67 www.viabcp.com
199.119.226.67 viabcp.com
199.119.226.67 bn.com.pe
199.119.226.67 www.bn.com.peBotVolk
Eso fue todo.
Hasta la próxima.
@Dkavalanche 2012
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario