Bueno, hace unos cuantos meses apareció un troyano Bancario que atacaba varias entidades Argentinas, un downloader era enviado por email como un falso concurso de GH para ganarte algunos jugosos premios.
Ver aviso de los amigos de Segu-Info
http://blog.segu-info.com.ar/2011/10/participa-de-gran-hermano-2012-e.html
El troyano es muy parecido al troyano de las fotomultas.
http://oberheimdmx.blogspot.com/2012/02/vuelven-las-falsas-fotomultas-con.html
Con la particularidad que los datos robados son cifrados y depositados
en una web comprometida (hackeada) por lo que no es posible ver de que se trata.
Detalle de VirusTotal.
https://www.virustotal.com/file/d0856a0f282c670376cad9e1f071523380e9c3a320ade142a99b2ebc18a14abd/analysis/
El ejecutable esta programado en Delphi2010 y compactado con UPX.
En la imagen se puede observar un Form con los EditBox con la configuración
cargada antes de compilar el ejecutable.
Se pudo analizar la rutina de encripción y desencripción... que Oh! casualidad
es un cut & paste de una rutina que fue posteada en un foro de Delphi Brasileño.
http://www.planetadelphi.com.br/dica/1238/rotina-para-criptografia-mais-absoluta
Por lo que no me costo nada, armar un pequeño programa en Delphi 7 para
reversar los datos que son robados...
Datos codificados para el input, descargado de una de las webs utilizadas por el troyano para enviar los datos.
Algunos de los falsos Forms que son desplegados por este troyano.
Pedido de tarjeta de coordenadas...
Que tenga algunos meses no significa que esta amenaza no siga haciendo de las
suyas con las victimas, las webs comprometidas hasta ayer estaban activas,
por lo cual fueron reportadas para su baja.
Una de estas webs tenia un RFI insólito.....
Eso es todo por hoy.... Saludos!
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario