martes, 19 de febrero de 2013

Troyano Qhost - Falso Premio KFC /  Falso Premio Cinemark

Nueva campaña del troyano Qhost analizado aquí, esta vez utilizando otro falso premio.

Utiliza codificación de datos para esconder la configuración del Pharming.
Actualmente afecta a varias entidades del Perú y varios sitios de correo electrónico.



Link : http://vale.kfcbuenisimo.com.ec.actualidadez.info/comida/ganadores/premio/c2ltb24uc2F5QGdheS5jb20NCg==

c2ltb24uc2F5QGdheS5jb20NCg== codificado en Base64  corresponde al correo de la victima del phishing.

Descarga con Malzilla:



Corresponde a un .zip con un .scr en su interior, con un Indice muy bajo en detecciones:


Analizando el .SCR se observa que utiliza PKZip para comprimir el ejecutable (malware).





Diagrama del encapsulado del malware.



Analisis en VT del malware extraído del .scr



Strings del malware:





El troyano descarga la configuración (codificada) del pharming desde: http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg

(Puedes encontrar el script en phyton para decodificarlo aquí.)


Pharming:


# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo #
#
# Por ejemplo:
#
#      102.54.94.97     rhino.acme.com          # servidor origen
#       38.25.63.10     x.acme.com              # host cliente x


127.0.0.1       localhost 



142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com



muestra: http://dl.dropbox.com/u/80008916/Qhost%2017-02-13l.rar



password = infected



NUEVO!!! 21-02-2013...............................................................................................................

Troyano como Falso Premio Cinemark

Continua la campaña para diseminar este troyano, esta vez utilizando otro mail Phishing.





Link de descarga:
http://sorteo.cinemark.com.servicez.info/cine/ganadores/premio/cHV0b2VscXVlbGVlQGhvdG1haWwuY29tDQo=


Analisis en VT del  Dropper:
https://www.virustotal.com/es/file/054b0be10ec82395f3fbadc02d09662d18fdd586b1cd60414ed5cfe51402837b/analysis/1361486196/


Malware:
https://www.virustotal.com/es/file/473be07617371299698a588900ab889472d27ebffd5d7f331f54975e54b22553/analysis/1361487160/



El troyano descarga la configuración (codificada) del pharming desde: http://noobster.info/images/thumb/Peru/2BC5F61EB.jpg

(Puedes encontrar el script en phyton para decodificarlo aquí.)


PHARMING

142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 financiero.com.pe
142.11.192.81 www.financiero.com.pe
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com





muestra: http://dl.dropbox.com/u/80008916/Qhost%2021-02-03.rar

passw = infected


Espero que las empresas afectadas reclamen la baja del siguiente sitio
http://noobster.info



No se que esperan.......como diría un amigo.... la vagancia no descansa....




NUEVO!!! 25-02-2013...............................................................................................................

Troyano como Falso Video Pornografico de Anne Malherbe

Continua la campaña para diseminar este troyano, esta vez utilizando otro mail Phishing.
El malware y el pharming es el mismo... mal por las entidades bancarias que no han hecho
nada para solucionar este tema, con esto no estoy diciendo que lean mi blog, sino que por 
lo evidenciado no cuentan con ningún sistema de detección temprana de este tipo 
de amenazas.



Link Descarga del Dropper:

http://premios.cinemark.com.servicez.info/cine/ganadores/premio/Y2h1cGFsYXB1dG9AZ2F5LmNvbQ==


Analisis del Dropper en V.T.:

https://www.virustotal.com/es/file/f3205ea3f7cee9b91ed22fa98f59066158d26277074554c83a0025bb17dc2854/analysis/1361795939/

Analisis del Malware en V.T.:

https://www.virustotal.com/es/file/f3205ea3f7cee9b91ed22fa98f59066158d26277074554c83a0025bb17dc2854/analysis/



PHARMING

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo #
#
# Por ejemplo:
#
#      102.54.94.97     rhino.acme.com          # servidor origen
#       38.25.63.10     x.acme.com              # host cliente x
127.0.0.1       localhost 
142.11.192.81 viabcp.com
142.11.192.81 www.viabcp.com
142.11.192.81 zonasegura.viabcp.com
142.11.192.81 telecreditonp.bcp.com.pe
142.11.192.81 telecredito.bcp.com.pe
142.11.192.81 peb1.bbvanetlatam.com
142.11.192.81 financiero.com.pe
142.11.192.81 www.financiero.com.pe
142.11.192.81 bancofalabella.pe
142.11.192.81 www.bancofalabella.pe
142.11.192.81 interbank.com.pe
142.11.192.81 www.interbank.com.pe
142.11.192.81 netinterbank.com.pe
142.11.192.81 scotiabank.com.pe
142.11.192.81 www.scotiabank.com.pe
142.11.192.81 scotiaenlinea.scotiabank.com.pe
142.11.192.81 wiese.com.pe
142.11.192.81 www.wiese.com.pe
142.11.192.81 scotiaenlinea.wiese.com.pe
142.11.192.81 bws.com.pe
142.11.192.81 www.bws.com.pe
142.11.192.81 scotiaenlinea.bws.com.pe
142.11.192.81 bn.com.pe
142.11.192.81 www.bn.com.pe
142.11.192.81 zonasegura1.bn.com.pe
142.11.192.81 correoweb.terra.com.pe
142.11.192.81 correo.speedy.com.pe
142.11.192.81 gmail.com
142.11.192.81 www.gmail.com
142.11.192.81 mail.gmail.com
142.11.192.81 g.msn.com
142.11.192.81 www.g.msn.com
142.11.192.81 hotmail.com
142.11.192.81 www.hotmail.com
142.11.192.81 lives.com
142.11.192.81 login.lives.com
142.11.192.81 outlook.com
142.11.192.81 www.outlook.com
142.11.192.81 livez.com
142.11.192.81 login.livez.com5





Eso es todo por el momento.


@DkAvalanche   2013

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...