martes, 6 de marzo de 2012

Troyano Bancario Concurso GRUPON.


En el día de hoy me enviaron para analizar un correo phishing sobre falso un premio de un concurso de GRUPON. (Grupon es un sitio que ofrece distintos tipos de descuentos a sus asociados.)


Alerta del phishing de nuestros amigos de Segu-info


http://blog.segu-info.com.ar/2012/03/phishing-de-groupon-utiliza.html






El link en cuestión nos descarga un ejecutable que se encuentra en un sitio comprometido (hackeado).


Análisis del downloader en  VT



Tiene un indice de detección moderado, seguramente detectado por huristica.


El binario esta compactado con el clásico UPX y compilado en Delphi 2010






Analizando el binario se pueden observar los links de descarga del Banload.



Descargamos la amenaza y la chequeamos en VT.






También esta empacada con UPX y compilada en Delphi.




Aquí vemos el formulario que se utiliza para configurar el troyano antes de ser compilado.




Bancos Argentinos Afectados.

MACRO
ITAU
STANDARD BANK
SANTANDER RIO
PATAGONIA

También roba claves de Hotmail.


Falsos Formularios desplegados por el malware.











Los datos robados son enviados a distintas paginas web comprometidas por medio de un .php (se ven en el formulario del config mas arriba)






Eso es todo........por el momento... 






@Dkavalanche    2012








No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...