martes, 6 de marzo de 2012

Troyano Bancario Concurso GRUPON.


En el día de hoy me enviaron para analizar un correo phishing sobre falso un premio de un concurso de GRUPON. (Grupon es un sitio que ofrece distintos tipos de descuentos a sus asociados.)


Alerta del phishing de nuestros amigos de Segu-info


http://blog.segu-info.com.ar/2012/03/phishing-de-groupon-utiliza.html






El link en cuestión nos descarga un ejecutable que se encuentra en un sitio comprometido (hackeado).


Análisis del downloader en  VT



Tiene un indice de detección moderado, seguramente detectado por huristica.


El binario esta compactado con el clásico UPX y compilado en Delphi 2010






Analizando el binario se pueden observar los links de descarga del Banload.



Descargamos la amenaza y la chequeamos en VT.






También esta empacada con UPX y compilada en Delphi.




Aquí vemos el formulario que se utiliza para configurar el troyano antes de ser compilado.




Bancos Argentinos Afectados.

MACRO
ITAU
STANDARD BANK
SANTANDER RIO
PATAGONIA

También roba claves de Hotmail.


Falsos Formularios desplegados por el malware.











Los datos robados son enviados a distintas paginas web comprometidas por medio de un .php (se ven en el formulario del config mas arriba)






Eso es todo........por el momento... 






@Dkavalanche    2012








en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!