Nueva campaña del troyano Qhost analizado aquí, esta vez utilizando otro falso premio.
Utiliza codificación de datos para esconder la configuración del Pharming.
Actualmente afecta a varias entidades del Perú y varios sitios de correo electrónico.
Link : http://vale.kfcbuenisimo.com.ec.actualidadez.info/comida/ganadores/premio/c2ltb24uc2F5QGdheS5jb20NCg==
c2ltb24uc2F5QGdheS5jb20NCg== codificado en Base64 corresponde al correo de la victima del phishing.
Descarga con Malzilla:
Corresponde a un .zip con un .scr en su interior, con un Indice muy bajo en detecciones:
Analizando el .SCR se observa que utiliza PKZip para comprimir el ejecutable (malware).
Diagrama del encapsulado del malware.
Analisis en VT del malware extraído del .scr
Strings del malware:
El troyano descarga la configuración (codificada) del pharming desde: http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg
(Puedes encontrar el script en phyton para decodificarlo aquí.)
Pharming:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo #
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x
127.0.0.1 localhost
142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com
muestra: http://dl.dropbox.com/u/80008916/Qhost%2017-02-13l.rar
password = infected
NUEVO!!! 21-02-2013...............................................................................................................
Troyano como Falso Premio Cinemark
Continua la campaña para diseminar este troyano, esta vez utilizando otro mail Phishing.
Link de descarga:
http://sorteo.cinemark.com.servicez.info/cine/ganadores/premio/cHV0b2VscXVlbGVlQGhvdG1haWwuY29tDQo=
Analisis en VT del Dropper:
https://www.virustotal.com/es/file/054b0be10ec82395f3fbadc02d09662d18fdd586b1cd60414ed5cfe51402837b/analysis/1361486196/
Malware:
https://www.virustotal.com/es/file/473be07617371299698a588900ab889472d27ebffd5d7f331f54975e54b22553/analysis/1361487160/
El troyano descarga la configuración (codificada) del pharming desde: http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg
(Puedes encontrar el script en phyton para decodificarlo aquí.)
PHARMING
142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 financiero.com.pe
142.11.192.81 www.financiero.com.pe
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com
muestra: http://dl.dropbox.com/u/80008916/Qhost%2021-02-03.rar
passw = infected
Espero que las empresas afectadas reclamen la baja del siguiente sitio
http://noobster.info
No se que esperan.......como diría un amigo.... la vagancia no descansa....
NUEVO!!! 25-02-2013...............................................................................................................
Troyano como Falso Video Pornografico de Anne Malherbe
Continua la campaña para diseminar este troyano, esta vez utilizando otro mail Phishing.
El malware y el pharming es el mismo... mal por las entidades bancarias que no han hecho
nada para solucionar este tema, con esto no estoy diciendo que lean mi blog, sino que por
lo evidenciado no cuentan con ningún sistema de detección temprana de este tipo
de amenazas.
Link Descarga del Dropper:
http://premios.cinemark.com.servicez.info/cine/ganadores/premio/Y2h1cGFsYXB1dG9AZ2F5LmNvbQ==
Analisis del Dropper en V.T.:
https://www.virustotal.com/es/file/f3205ea3f7cee9b91ed22fa98f59066158d26277074554c83a0025bb17dc2854/analysis/1361795939/
Analisis del Malware en V.T.:
https://www.virustotal.com/es/file/f3205ea3f7cee9b91ed22fa98f59066158d26277074554c83a0025bb17dc2854/analysis/
PHARMING
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo #
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x
127.0.0.1 localhost
142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 financiero.com.pe
142.11.192.81 www.financiero.com.pe
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com5
Eso es todo por el momento.
@DkAvalanche 2013