lunes, 26 de noviembre de 2012

Banker Brasileño - Robo de Certificados Digitales.


El siguiente caso se trata de un troyano bancario que afecta a varias entidades de Brasil, es del tipo Screen Overlay, el cual esta constantemente monitoreando la URL que se visita y de coincidir con las que tiene programadas, se desplegaran falsos formularios donde el cliente infectado cargara los datos.

En este caso en particular, afecta a la Banca Empresas de Bradesco solicitando el archivo .crt o .key y la clave del certificado para ser enviados a un servidor ms-sql donde se guardaran estos datos.


Falso correo para infectar desprevenidos.




Links de la amenaza


hxxp://cor.to/kalla
hxxp://ow.ly/fss2u

hxxp://brandl.com.br/images/send/visualizar.zip



Análisis en VT.




Se descarga una aplicación .CPL que corresponde a un archivo del Control Panel de Windows ...(?)




Corresponde a una DLL programada en Delphi





Para Cargarla en Ollydbg se tiene que lanzar la loaddll.exe



Se verifica si se esta corriendo en un entorno debuggeado.





Aquí analizando el trafico, podemos ver que se descargan varios archivos.




Luego de la descarga, se nos redirige a un sitio de Phishing de facebook....



 Aquí esta corriendo la Dll en el sistema.








Se descargan en c:\windows\ 



satj.bat
braj.bat
brcf.bat
stf.bat







Y cuatro .DLL

iexplore.dll
cf.dll
stj.dll
fra.dll








Los bat's registran los dll en el sistema y afectan al proceso explorer.exe


@echo off
echo.
regsvr32 /s  iexplorer.dll
echo.






REGSVR32

Register or unregister a DLL.

Syntax
      REGSVR32 [/U] [/S] [/N] /I:[CommandLine] DLL_Name

Key
   /u          Unregister Server.

   /s          Silent, do not display dialogue boxes.

   /i          Call DllInstall to register the DLL.
               (when used with /u, it calls dll uninstall.)

   /n          Do not call DllRegisterServer, you must use this option with /i. 

  CommandLine  An optional command line for DllInstall

   /c          Console output (old versions only).







Estos dll son cuatro troyanos bancarios... sisi... no es uno.. son cuatro troyanos distintos..
Cada uno de estos Troyanos afecta a uno o varias entidades bancarias Brasileñas distintas.




Análisis por DLL.





CF.DLL

Afecta a:


safranet.com.br
caixa
BancoDoBrasil



Análisis en V.T. con un indice muy bajo en detecciones.




Falsos formularios que despliega el malware.


falsa instalación de certificado, intenta hacer creer que pertenece al antitroyanos GAS utilizado por este banco.














Datos que son tomados y enviados al defraudador.







FRA.DLL


Afecta a:


Santander Brasil



Análisis en V.T. con un indice muy bajo en detecciones.




Falsos formularios que despliega el malware.




Pedido de datos de la tarjeta de coordenadas.








STJ.DLL


Afecta a:


Santander Brasil



Análisis en V.T. con un indice muy bajo en detecciones.





Falsos formularios que despliega el malware.




Pedido de token, presumiblemente este modulo se utiliza para realizar las transacciones al vuelo.





IEXPLORE.DLL  (el mas interesante)


Afecta a:




BRADESCO


Análisis en V.T. con un indice muy bajo en detecciones.



Proceso ieplore.dll en memoria.





URL que se monitorea https://bradesconetempresa.com.br/ne/iniciasessao.asp

Cuando se ingresa a la url del banco, se mata el proceso del navegador y se abre un falso sitio que se arma en nuestro PC en C:\https con el iexplore.exe





00A97ECC   MOV EAX,iexplore.00A98114                 UNICODE "C:\https"
00A97ED6   MOV EAX,iexplore.00A98134                 UNICODE "C:\https\www"
00A97EE4   MOV EAX,iexplore.00A98134                 UNICODE "C:\https\www"
00A97EEE   MOV EAX,iexplore.00A98134                 UNICODE "C:\https\www"
00A97EFC   MOV EAX,iexplore.00A98134                 UNICODE "C:\https\www"
00A97F23   MOV ECX,iexplore.00A9815C                 UNICODE "\com"
00A97F42   MOV ECX,iexplore.00A9815C                 UNICODE "\com"
00A97F5D   MOV ECX,iexplore.00A98174                 UNICODE "\com\br"
00A97F7C   MOV ECX,iexplore.00A98174                 UNICODE "\com\br"
00A97F97   MOV ECX,iexplore.00A98190                 UNICODE "\com\br\ne"
00A97FB6   MOV ECX,iexplore.00A98190                 UNICODE "\com\br\ne"
00A97FD6   MOV ECX,iexplore.00A981B4                 UNICODE "\com\br\ne\sessao.html"
00A98002   MOV ECX,iexplore.00A981F0                 UNICODE "\com\br\ne\iniciasessao.html"
00A9803B   MOV ECX,iexplore.00A98238                 UNICODE "\com\br\ne\msg_certificacao.html"
00A9807E   MOV ECX,iexplore.00A98238                 UNICODE "\com\br\ne\msg_certificacao.html"



Sitio falso armado en nuestra PC.... Se pide el certificado digital.





Ubicación del certificado.




Una vez ubicado, se solicita la clave del certificado.


00A98AA6   PUSH iexplore.00A98C7C                    UNICODE ".crt"
00A98AEB   PUSH iexplore.00A98C94                    UNICODE ".key"






Envió de los datos a un servidor ms-sql


00A98331   PUSH iexplore.00A98690                    UNICODE "INSERT INTO "
00A9833C   PUSH iexplore.00A986B8                    UNICODE " (NM_PC) VALUES ('"
00A9834E   PUSH iexplore.00A986EC                    UNICODE "')"
00A9838B   PUSH iexplore.00A98700                    UNICODE "SELECT TOP 1 ID_PC AS CO_MAQUINA FROM "
00A98396   PUSH iexplore.00A9875C                    UNICODE " WHERE NM_PC='"
00A983A8   PUSH iexplore.00A98788                    UNICODE "' ORDER BY ID_PC DESC"
00A983E4   MOV EDX,iexplore.00A987C0                 UNICODE "CO_MAQUINA"
00A98417   PUSH iexplore.00A987E4                    UNICODE "UPDATE "
00A98422   PUSH iexplore.00A98800                    UNICODE " SET NM_TOKEN= '"
00A9842A   PUSH iexplore.00A98830                    UNICODE "', ST_ENVIADO='1', DS_SENHA='"
00A98440   PUSH iexplore.00A98878                    UNICODE "', DS_CRT=:LOCAL1, DS_KEY=:LOCAL2 WHERE ID_PC="
00A9849B   MOV EDX,iexplore.00A988DC                 UNICODE "Local1"
00A984D9   MOV EDX,iexplore.00A988F0                 UNICODE "Local2"







NUEVA INFO.


Las DLL son incorporadas como complementos del IE.





Bradesco, tiene en su sitio de empresas un complemento con el cual se carga el certificado digital del Banco y es utilizado para firmar operaciones.


Lo que pretende el troyano es imitar este complemento para engañar a los clientes infectados y lograr hacerse del certificado digital proporcionado por el banco, con el cual se pueden firmar operaciones en forma fraudulenta.

Sitio de Bradesco y su ActiveX







Aquí el complemento Original del Banco




Trafico entre el complemento original y el sitio de Bradesco, en ningún caso es mediante ms-sql.










Thank you for your submission.
The detection of the threat is covered by the current signature database. 

cf.dll - Win32/Spy.Banker.YQF trojan  
fra.dll - Win32/Spy.Banker.YGM trojan  
stj.dll - Win32/Spy.Banker.YGM trojan  
iexplorer.dll - Win32/Spy.Banker.YGM trojan  
visualizar.cpl - Win32/TrojanDownloader.Banload.RQF trojan  

 Regards,

ESET Malware Response Team




Muestra en: (sea cuidadoso)

http://www.mediafire.com/?hhy7yzn404kbpqy


Password = infected.



@Dkavalanche 2012



3 comentarios:

- Raúl - dijo...

Que buen análisis Ernesto!

@Dkavalanche dijo...

Gracias Raul!


Un Abrazo!

Blogger dijo...

Did you know you can shorten your long urls with Shortest and get $$$$$$ for every click on your shortened urls.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...