En el día de hoy, me acercaron un correo sospechoso, el cual intentaba, mediante ingeniería social, que descarguemos un documento PDF, que en realidad es un ejecutable.
Link del ejecutable en un servidor comprometido (hackeado).
hxxp://www.opinionsearch.com/.trash/x1/Comprobante-142534567-pdf-c4c.exe
Examen en VT, con un indice bajo de detección
SHA256: e93430c0b6b426e87c7d7637a8f985c166e09e324c4bb359398802fd6f2a1930
Este ejecutable resulta ser un Downloader que nos descargara otra amenaza.
Esta amenaza esta alojada en otro servidor comprometido, como un .gif,
en realidad resulta ser ejecutable que el downloader se encargara de renombrar y ejecutar para infectar la PC con el troyano bancario.
hxxp://www.rafaelrosa.com.br/rafaelrosa/fotos/1/1/.b/a1.gif
Analizamos en VT y también tiene un indice bajo de detección
https://www.virustotal.com/file/fb32b90e8bd399d60ba377a482fc6fcaa3786578c61256dbce55bfbf76f5399e/analysis/1330615334/
.
El ejecutable esta compactado con UPX y compilado en Delphi 2010.
Analizando un poco mas en profundidad se pueden observar las URL's que el
troyano monitorea, para cuando se accede a cualquiera de ellas el navegador
es minimizado y un falso formulario que simula ser la entidad bancaria
es mostrado, esto es realizado en una fracción de segundo que a los
ojos no muy entrenados pasa desapercibido.
Con lo que la victima ingresara sus datos sobre el troyano y no en la web del
banco.
Se puede observar que este malware afecta a las siguientes entidades bancarias Argentinas:
Banco Macro
Banco Galicia
Banco Comafi
Patagonia
Banco Itau
Standard Bank
Pidiendo datos sensibles y todas las coordenadas de la T.C.
Los datos son enviados a un .php en sitio comprometido.
hxxp://xxx-club.com/forum/language/en/postien.php
Contador de visitantes (?)
hxxp://184.105.229.146/ar/co.asp
Si lo cuento no me lo creen..... terrible LFI.....en la web comprometida...
Eso es todo por hoy.... Saludos!
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario