miércoles, 28 de marzo de 2012

Troyano Bancario II - Parte I - Estamos muy enojados con vos



En el día de hoy un nuevo Malware Bancario esta siendo distribuido por medio de e-mail con asunto: Estamos muy enojados con vos, apelando a la ingeniería social y al descuido de los usuarios.


Podemos ver la alerta en Segu-info:
http://blog.segu-info.com.ar/2012/03/estamos-muy-enojados-con-vos-correos.html?utm_source=twitterfeed&utm_medium=twitter&utm_campaign=Feed%3A+NoticiasSeguridadInformatica+%28Noticias+de+Seguridad+Inform%C3%A1tica%29#axzz1qLA8O8nR




El malware descargado es una especie de instalador, que en sus recursos contiene un archivo .CAB  (abreviatura de Cabinet) es el formato nativo de archivo comprimido de Microsoft Windows  http://es.wikipedia.org/wiki/CAB_(archivo)


Una vez ejecutado se descomprime este .CAB y ejecuta otro ejecutable el cual infecta la PC de la Victima.


(dentro del Data_CABINET se encuentra el ejecutable TIMESY~1.EXE)


Este troyano esta programado en Delphi 2010 y no esta compactado pesando 20Mb, este tamaño se debe a las imágenes de los Formularios que simulan la web del Banco, mas abajo las veremos.

En el siguiente Form se puede observar la configuración del troyano Delphi antes de ser compilado.



Se puede observar donde serán comunicados los datos robados (.php) y donde se actualizara el troyano.

Entidades bancarias Argentinas que afecta:
Patagonia
Galicia
Comafi
Banco Union
Santander
Standard Bank


También roba usuarios y claves de Hotmail.


Formularios desplegados:










Los datos robados son comunicados a un .php los cuales están codificados.



 Datos desencriptados con un decripter programado por mi.



LFI en una de las web utilizadas para dejar los datos... mientras los programadores web no aprendan a programar en forma segura van a seguir hackeandoles las webs.




Es todo por el momento.

@Dkavalanche  2012




No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!