viernes, 30 de marzo de 2012

LANPeru - Felicitaciones !!! ha Ganado 2 pasajes a Punta Cana‏!

En el día de hoy recibí el siguiente e-mail con un gran premio de LAN Perú, se trata de otro phishing que descarga un troyano, el mismo se trata de la Botnet V0lks.



Analizamos con VirusTotal, y observamos un indice bajo de infecciones, por no decir nula.


Descargando la amenaza veo que esta ofuscada con un Crypter en Visual Basic, que es fácil de analizar.

Aquí se ven los strings que codifican la web donde se comunicara el BOT.


Queda como:

00417064     087A4100       DD _0134000.00417A08                     ;  UNICODE "687474703A2F2F6261746573696E72756C657A2E636F6D2F70726976382F"

http://batesinrulez.com/priv8/         <------ C&C 1

0041706C     947A4100       DD _0134000.00417A94                     ;  UNICODE "687474703A2F2F656C756C74696D6F77616368692E636F6D2F70726976382F"

http://elultimowachi.com/priv8/       <------ C&C 2

00417070     187B4100       DD _0134000.00417B18                     ;  UNICODE "687474703A2F2F7761636869747572726F636F6E726C7A2E636F6D2F70726976382F"

http://wachiturroconrlz.com/priv8/   <------ C&C 3

00417074     BC7B4100       DD _0134000.00417BBC                     ;  UNICODE "687474703A2F2F626F62797075746F636F6D2E636F6D2F70726976382F"

http://bobyputocom.com/priv8/      <------ C&C 4

00417098     087D4100       DD _0134000.00417D08                     ;  UNICODE "5C737663686F73742E657865"

\svchost.exe _             <------- nombre del .exe en el sistema





Aquí se ve como se llama el .php donde comunicara los datos.
También el User-Agent que tendrá el Bot, primordial para que el servidor C&C nos entregue los datos, sino no nos responde... :-)


Utilizando Tamper Data contra http://elultimowachi.com/priv8/bots.php

con User-Agent :

QfH205c3Msk2+mAVLjb6Tgb6S4/9QfPqblc5LDgsSIQuQfPq05c3MsgsS2J6S41zKiT=+iHNMiTaOxu60/CC

nos responde, a que entidades realiza pharming.

============================================= 
50.115.161.242 viabcp.com 
50.115.161.242 www.viabcp.com 
50.115.161.242 bn.com.pe 
50.115.161.242 www.bn.com.pe 
50.115.161.242 bbvabancocontinental.com 
50.115.161.242 www.bbvabancocontinental.com 
50.115.161.242 bbvacontinental.com 
50.115.161.242 www.bbvacontinental.com =============================================



Panel de la Botnet.




Es todo por el momento.






@DKavalanche



jueves, 29 de marzo de 2012

Troyano Bancario II - Parte 2 - Esta ves no te podemos cubrir

En el día de hoy volvieron con el mismo troyano pero con otro subject y cuerpo en el e-mail, aplicando ingeniería social.

El link descarga un downloader desde 
http://demo.ckentgroup.com/kenchan/international/fotos_JPG_.exe

 Y este descarga el troyano desde:
   http://www.spaxalm.de//usersettings/wifidriver.exe
  http://www.cwmarsh.com/images/wifidriver.exe
  http://www.orchmaddox.be/wifidriver.exe


La funcionalidad del troyano es la misma que la explicada en:






Eso es todo por el momento.


@Dkavalanche  2012




miércoles, 28 de marzo de 2012

Troyano Bancario II - Parte I - Estamos muy enojados con vos



En el día de hoy un nuevo Malware Bancario esta siendo distribuido por medio de e-mail con asunto: Estamos muy enojados con vos, apelando a la ingeniería social y al descuido de los usuarios.


Podemos ver la alerta en Segu-info:
http://blog.segu-info.com.ar/2012/03/estamos-muy-enojados-con-vos-correos.html?utm_source=twitterfeed&utm_medium=twitter&utm_campaign=Feed%3A+NoticiasSeguridadInformatica+%28Noticias+de+Seguridad+Inform%C3%A1tica%29#axzz1qLA8O8nR




El malware descargado es una especie de instalador, que en sus recursos contiene un archivo .CAB  (abreviatura de Cabinet) es el formato nativo de archivo comprimido de Microsoft Windows  http://es.wikipedia.org/wiki/CAB_(archivo)


Una vez ejecutado se descomprime este .CAB y ejecuta otro ejecutable el cual infecta la PC de la Victima.


(dentro del Data_CABINET se encuentra el ejecutable TIMESY~1.EXE)


Este troyano esta programado en Delphi 2010 y no esta compactado pesando 20Mb, este tamaño se debe a las imágenes de los Formularios que simulan la web del Banco, mas abajo las veremos.

En el siguiente Form se puede observar la configuración del troyano Delphi antes de ser compilado.



Se puede observar donde serán comunicados los datos robados (.php) y donde se actualizara el troyano.

Entidades bancarias Argentinas que afecta:
Patagonia
Galicia
Comafi
Banco Union
Santander
Standard Bank


También roba usuarios y claves de Hotmail.


Formularios desplegados:










Los datos robados son comunicados a un .php los cuales están codificados.



 Datos desencriptados con un decripter programado por mi.



LFI en una de las web utilizadas para dejar los datos... mientras los programadores web no aprendan a programar en forma segura van a seguir hackeandoles las webs.




Es todo por el momento.

@Dkavalanche  2012




martes, 27 de marzo de 2012

Qhost V - Falso mensaje MMS de CLARO.




Los troyanos Qhost están a la orden del día, esta vez con un falso
mail de la empresa CLARO con un supuesto mensaje multimedia mms.
Pero un mms enviado a un mail??? que loco, que inventiva estos muchachos.


Afecta a dos bancos Peruanos.



hxxp://neobayumedispa.com.my/promotions/SMSClaro/SMS_Claro.php

hxxp://neobayumedispa.com.my/promotions/SMSClaro/SMS.exe


Contador de Descargas del troyano.




https://www.virustotal.com/file/2f47e979b08a4e45df6129aa1475e8256e6cf7f0806b81d45583b2c2e16670d7/analysis/1332804133/



Análisis en VT con un indice muy bajo de detecciones.


Analizando el troyano encuentro que utiliza el mismo método de ofuscación de strings.
ver caso: http://oberheimdmx.blogspot.com.ar/2012/03/qhost-iv-falso-video-de-facebook.html









Plaintext : guTJKkDAP3Mk5rJMICtFTAuDI6R5x+KmEeZHRAeEz4actJHD+uRnvtFgElgLXbtE
Decrypted : c:\windows\System32\drivers\csrss.exe


Plaintext : RD89hEp37/leK/mlmLS7sf/uSJL3z5qo2/LyiPY2B0pXhG0TTVJ5zdROBX52KKv1
Decrypted : SOFTWARE\Microsoft\Windows\CurrentVersion\Run




Plaintext : H5i9IiOcitXfsUVzyoF058J1wButApBPYULQZVm462I6y3aLa3e+cZ8YCAXs5rxS
Decrypted : C:\Windows\system32\drivers\etc\hosts




Plaintext : lMuzuOWq2tMrbA8JWGtT6PTEHqYWty4aPdgYsZ9lPb8OFNiJ2pWwpsk3soS3S8Q
Decrypted : http://www.d-apothek.de/robots.txt

(sitio web hackeado para descargar la configuración)







# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
            184.82.230.187   www.bn.com.pe
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
            184.82.230.187   bn.com.pe
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
            184.82.230.187   www.viabcp.com
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1       localhost
# ::1             localhost
            184.82.230.187   viabcp.com







Eso es todo por hoy.

@Dkavalanche  2012

viernes, 16 de marzo de 2012

Qhost IV - Falso video de Facebook.


Continua siendo la ingeniería social el arma principal para el engaño y la diseminación 
de amenazas. En este caso analizamos un troyano que modifica el archivo .host de la PC
para llevarnos a un sitio de phishing.




Analizando en VT encontramos un bajo indice de detecciones:


SHA256:01108dbc641591efca587877c349cc01a24b44179346ca7625ca617f02b400b0
Nombre:Ver_Mensaje.exe
Detecciones:3 / 43




Con un editor hexadecimal se puede observar que esta programado en VBasic.

Descompilando vemos que utiliza técnicas de ofuscación de lo strings principales.

La ofuscación esta realizada con el algoritmo de Rijndael


Cadena encriptada:
  loc_402079: push "H5i9IiOcitXfsUVzyoF058J1wButApBPYULQZVm462I6y3aLa3e+cZ8YCAXs5rxS"

Desencriptada:
// C:\Windows\system32\drivers\etc\hosts

Cadena encriptada:
  loc_402088: push "TWiJo7XHZSjYzyG+nIiVOzpKsenN64qc4FtgTNkdpYlE1Myumxc8iF2cPO0gtkBh"

Desencriptada: (config)
//http://bcjonesonline.com/phproc/robots.txt

Cadena autorun del registro

  loc_4027F8: push "RD89hEp37/leK/mlmLS7sf/uSJL3z5qo2/LyiPY2B0pXhG0TTVJ5zdROBX52KKv1"
//SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Nombre que tendrá  la Key
  loc_402813: push "SREx6AH46GDoX7WfhupLlBNznl/FOyeLcZWIN03rBMI="
// Windows Defender

Nombre que tendrá el troyano en el sistema
"guTJKkDAP3Mk5rJMICtFTAuDI6R5x+KmEeZHRAeEz4actJHD+uRnvtFgElgLXbtE"
//c:\windows\System32\drivers\csrss.exe





# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
 184.82.230.187  bn.com.pe  # host cliente x
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
 184.82.230.187  www.bn.com.pe  # host cliente x
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
 184.82.230.187  www.viabcp.com  # host cliente x
 
# localhost name resolution is handled within DNS itself.
 127.0.0.1       localhost
# localhost name resolution is handled within DNS itself.
 184.82.230.187 www.viabcp.com  # host cliente x
# ::1             localhost


Se puede observar que el defraudador cargo la IP del sitio de phishing en el config (pagina web hackeada para tal fin)




Eso es todo por el momento.


@Dkavalanche 2012



martes, 6 de marzo de 2012

Troyano Bancario Concurso GRUPON.


En el día de hoy me enviaron para analizar un correo phishing sobre falso un premio de un concurso de GRUPON. (Grupon es un sitio que ofrece distintos tipos de descuentos a sus asociados.)


Alerta del phishing de nuestros amigos de Segu-info


http://blog.segu-info.com.ar/2012/03/phishing-de-groupon-utiliza.html






El link en cuestión nos descarga un ejecutable que se encuentra en un sitio comprometido (hackeado).


Análisis del downloader en  VT



Tiene un indice de detección moderado, seguramente detectado por huristica.


El binario esta compactado con el clásico UPX y compilado en Delphi 2010






Analizando el binario se pueden observar los links de descarga del Banload.



Descargamos la amenaza y la chequeamos en VT.






También esta empacada con UPX y compilada en Delphi.




Aquí vemos el formulario que se utiliza para configurar el troyano antes de ser compilado.




Bancos Argentinos Afectados.

MACRO
ITAU
STANDARD BANK
SANTANDER RIO
PATAGONIA

También roba claves de Hotmail.


Falsos Formularios desplegados por el malware.











Los datos robados son enviados a distintas paginas web comprometidas por medio de un .php (se ven en el formulario del config mas arriba)






Eso es todo........por el momento... 






@Dkavalanche    2012








lunes, 5 de marzo de 2012

Qhost III, Falso correo de Facebook.

Regresamos nuevamente con un troyano Qhost, que dicho de otra manera, este
se encarga de modificar el archivo .host de la PC, a los efectos de reenviarnos a un sitio
falso al invocar una web en particular.
En este caso, afecta a dos bancos de primera linea del Perú.


Vista del falso correo recibido.

Luego de clickear en el link nos descarga un ejecutable.
 (con pequeña falta de ortografía...en el url)


Analizamos en Virus Total y nos entrega un indice de detecciones de 0/43




SHA256: 41fe03a661338066c3e51e040a8dd47df442bc3789902ea23695ee839178b0a3
Nombre: video.exe
Detecciones: 0 / 43
Fecha de análisis: 2012-03-05 12:40:43 UTC ( hace 0 minutos )



Analizando el ejecutable vemos que modifica el .host, junto con la web donde descarga la configuración.



config:
http://www.ibvikings.com/roboots.txt


# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
            184.82.230.186   www.bn.com.pe
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
            184.82.230.186   bn.com.pe
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
            184.82.230.186   www.viabcp.com
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1       localhost
# ::1             localhost
            184.82.230.186   viabcp.com





Como vemos, el pharming esta entrelazado entre los comentarios del archivo .host para
despistar a las miradas inexpertas o poco observadoras.



Eso es todo por hoy.... Saludos!





@Dkavalanche  2012









jueves, 1 de marzo de 2012

Troyano de Formulario II, Falso Comprobante de deposito.

En el día de hoy, me acercaron un correo sospechoso, el cual intentaba, mediante ingeniería social, que descarguemos un documento PDF, que en realidad es un ejecutable.



Link del ejecutable en un servidor comprometido (hackeado).

hxxp://www.opinionsearch.com/.trash/x1/Comprobante-142534567-pdf-c4c.exe

Examen en VT, con un indice bajo de detección

SHA256: e93430c0b6b426e87c7d7637a8f985c166e09e324c4bb359398802fd6f2a1930



Este ejecutable resulta ser un Downloader que nos descargara otra amenaza.

Esta amenaza esta alojada en otro servidor comprometido, como un .gif, 
en realidad resulta ser ejecutable que el downloader se encargara de renombrar y ejecutar para infectar la PC con el troyano bancario.

hxxp://www.rafaelrosa.com.br/rafaelrosa/fotos/1/1/.b/a1.gif

Analizamos en VT y también tiene un indice bajo de detección

https://www.virustotal.com/file/fb32b90e8bd399d60ba377a482fc6fcaa3786578c61256dbce55bfbf76f5399e/analysis/1330615334/

.

El ejecutable esta compactado con UPX y compilado en Delphi 2010.





Analizando un poco mas en profundidad se pueden observar las URL's que el
troyano monitorea, para cuando se accede a cualquiera de ellas el navegador
es minimizado y un falso formulario que simula ser la entidad bancaria 
es mostrado, esto es realizado en una fracción de segundo que a los
ojos no muy entrenados pasa desapercibido.
Con lo que la victima ingresara sus datos sobre el troyano y no en la web del
banco.




Se puede observar que este malware afecta a las siguientes entidades bancarias Argentinas:

Banco Macro
Banco Galicia
Banco Comafi
Patagonia
Banco Itau
Standard Bank


Pidiendo datos sensibles y todas las coordenadas de la T.C.



Algunos de los formularios desplegados.









Los datos son enviados a un .php en sitio comprometido.


hxxp://xxx-club.com/forum/language/en/postien.php







Contador de visitantes (?)


hxxp://184.105.229.146/ar/co.asp







Si lo cuento no me lo creen..... terrible LFI.....en la web comprometida...












Eso es todo por hoy.... Saludos!
@Dkavalanche  2012



 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!