En el día de hoy como en otra ocasión, volvieron a la carga con la ingeniería social, aplicada a un falso comprobante de deposito.
Correo enviado a las victimas.
El link nos lleva a un Url y luego nos redirige a otra Url donde nos descarga un archivo ejecutable con un icono de una carpeta.
El Análisis de VT nos arroja un indice bajo de detecciones.
El análisis en comodo nos reporta que intenta descargar un archivo .gif que en realidad se trata de un ejecutable. Por lo que se trata de un Dowloader.
Este downloader esta empaquetado con UPX y compilado con Delphi.
Archivo que intenta descargar:
www.rafaelrosa.com.br/rafaelrosa/fotos/1/1/100_g.jpg1/a.gif
Le cambiamos la extensión a .exe y lo subimos a VT.
El ejecutable no tiene Packer y esta compilado en Delphi 2010
Estos son algunos de los formularios desplegados por esta amenaza.
Pedido de Tarjeta de Coordenadas.
Y pensar que hay gente que carga todos los datos....
Afecta a seis entidades Bancarias Argentinas
Manera en que serán enviados y presentados los datos al estafador.
El troyano tiene las siguientes cadenas:
AD4F965A86F2110B3294C67FAE2B68F666A692F763D154BFDA3B3F3E2FCB679FFB1537E2162ECDAC56F82160F527DD00639332CB65CD6CEC2E15CF6A943B5A8F34E1
9A5A9B41FD0A0A72EF1A7DEF67AED355CE342867D2462F6AFF47F72CE11BD74B9842F129CB6583A29984A92DDC
Las cuales se encuentran codificadas y realmente indican las Urls donde serán enviados los datos robados.
Decodificadas:
http://static-98-141-57-164.dsl.cavtel.net/TrioWorks/mix/post.asp
http://184.105.229.146/_privat/contador2.asp
muestra en : http://www.mediafire.com/?ti4e159863r3eni
Password = infected
Eso es todo por el momento.
@DkAvalanche 2012
No hay comentarios:
Publicar un comentario