sábado, 1 de junio de 2013

Malware Brasileño: Aviso de cobrança


Hoy inauguro el post 69 con esta malware bancario de origen brasileño, el cual utiliza distintas técnicas para ofuscar los datos.

Debo agradecer a Raul y Cristian de Segu-info por pasarme los links de este malware y permitirme publicar la imagen del mail phishing.




Correo phishing enviado a las victimas.





El link esta apuntando a un ejecutable .cpl alojado en dropbox.

https://www.virustotal.com/es-ar/url/fe4597a94de7c5f47ca391718880fe74993609fb2bafd067476d3a0e0bda7d0b/analysis/1369831189/





Se trata de un archivo con extensión .CPl, que correspone a un archivo de Control Panel de Windows

Lo cargamos en OllyDbg.


Aquí estamos sobre la rutina del crypter del downloader.



Aquí  estamos al final de la rutina y vemos en el stack las cadenas sin ofuscado.




Archivos descargados:

hxxp://sportsbrazil.com.br/conexaoformata/kitchenx.swf
hxxp://sportsbrazil.com.br/conexaoformata/spoonx.swf
hxxp://sportsbrazil.com.br/conexaoformata/argolax.swf
hxxp://sportsbrazil.com.br/conexaoformata/cookerx.swf
hxxp://sportsbrazil.com.br/conexaoformata/glassx.swf


Son pasados por rutina XOR para decodificarlos sobre la memoria.

Resultando ser el malware bancario.






Rutina XOR

008B28A0      8BC8           MOV ECX,EAX
008B28A2    . 0FB775 F2      MOVZX ESI,WORD PTR SS:[EBP-E]
008B28A6    . D3EE           SHR ESI,CL
008B28A8    . 8BCE           MOV ECX,ESI
008B28AA    . F7D1           NOT ECX
008B28AC    . 0FB63403       MOVZX ESI,BYTE PTR DS:[EBX+EAX]
008B28B0    . 33CE           XOR ECX,ESI   
008B28B2    . 880C03         MOV BYTE PTR DS:[EBX+EAX],CL
008B28B5    . 40             INC EAX
008B28B6    . 4A             DEC EDX
008B28B7    .^75 E7          JNZ SHORT titulo.008B28A0

ECX = KEY
ESI = DATA



Análisis del malware Bancario descargado.






Clásico Crypter RunPe



Proceso creado en modo suspendido.



WriteProcessMemory....





Algunas cadenas interesantes en el malware que se encuentran codificadas:


100D419B   MOV EDX,DUMP_SIN.100D4824                 ASCII "0000"
100D41C2   MOV EDX,DUMP_SIN.100D4834                 ASCII "73FF6CAA37B710B91DB62ABB186CEE68EE64"
100D41E1   MOV EDX,DUMP_SIN.100D4870                 ASCII "DF0C58B62346A3D4175B81E419"
100D4203   MOV EDX,DUMP_SIN.100D4894                 ASCII "1469EB6EED50409F3E6E81C3194A8EC33A9330A5EF20"
100D4225   MOV EDX,DUMP_SIN.100D48CC                 ASCII "A1D80EB233AB15B8124596334789C2095E96C7065AF66CBC1FB419BE015F4F"
100D4247   MOV EDX,DUMP_SIN.100D4914                 ASCII "D617B913B1166FE3075C8F3493364F8DC303134886DA"
100D4269   MOV EDX,DUMP_SIN.100D494C                 ASCII "6BAB"
100D428B   MOV EDX,DUMP_SIN.100D495C                 ASCII "CF39"
100D42AD   MOV EDX,DUMP_SIN.100D496C                 ASCII "5A9D27AA2FA42256F852F86E"
100D42CF   MOV EDX,DUMP_SIN.100D4990                 ASCII "5F8B"
100D42F1   MOV EDX,DUMP_SIN.100D49A0                 ASCII "DA3B5BBBDB3C5CBCDC"
100D4313   MOV EDX,DUMP_SIN.100D49BC                 ASCII "B626"
100D4335   MOV EDX,DUMP_SIN.100D49CC                 ASCII "42A1254A88C3024188C6"
100D4357   MOV EDX,DUMP_SIN.100D49EC                 ASCII "2EB52FAD22A129ACFC7BFF"
100D4379   MOV EDX,DUMP_SIN.100D4A0C                 ASCII "1259F25185C40C4F5FA1E12262"
100D439B   MOV EDX,DUMP_SIN.100D4A30                 ASCII "274E87C51AB90144549CDC"
100D43BD   MOV EDX,DUMP_SIN.100D4A50                 ASCII "1359F256FA6C"
100D43DF   MOV EDX,DUMP_SIN.100D4A68                 ASCII "C72FA827BB1BA226769D"
100D4401   MOV EDX,DUMP_SIN.100D4A88                 ASCII "9BC21CBA2FAE16B9E91378"
100D4423   MOV EDX,DUMP_SIN.100D4AA8                 ASCII "AFC0"
100D4445   MOV EDX,DUMP_SIN.100D4AB8                 ASCII "3BA23C9ACE0EB51909729ADD13"
100D4467   MOV EDX,DUMP_SIN.100D4ADC                 ASCII "4F9630AE23A22AADFD070F"
100D4489   MOV EDX,DUMP_SIN.100D4AFC                 ASCII "234A83C116B51DA0F00E63"
100D44AB   MOV EDX,DUMP_SIN.100D4B1C                 ASCII "204583DE7DDC64E2"
100D44CD   MOV EDX,DUMP_SIN.100D4B38                 ASCII "FC1A7794F12F"
100D44EF   MOV EDX,DUMP_SIN.100D4B50                 ASCII "A721A13A9637A829A2E075D10E"
100D4511   MOV EDX,DUMP_SIN.100D4B74                 ASCII "B4CB0145B62BBC1DA137993DB6154B8A"
100D4533   MOV EDX,DUMP_SIN.100D4BA0                 ASCII "E01E6F82E5"
100D4555   MOV EDX,DUMP_SIN.100D4BB4                 ASCII "9484F122"
100D4577   MOV EDX,DUMP_SIN.100D4BC8                 ASCII "28488AC9014394324881DD73D6"
100D4599   MOV EDX,DUMP_SIN.100D4BEC                 ASCII "649D3C80D578D60CB0E016BE1FBB1BBD13B522"
100D45BB   MOV EDX,DUMP_SIN.100D4C1C                 ASCII "E928"
100D45DD   MOV EDX,DUMP_SIN.100D4C2C                 ASCII "4D86DB64E461E063F8174CF46A"
100D4602   MOV EDX,DUMP_SIN.100D4C50                 ASCII "71A12A7A"


Estas cadenas son desofuscadas por el siguiente método que fue publicado en otro de mis post. ver


Resultando:


\\.\PhysicalDrive
\\.\SMARTVSD
Error on CreateFile: 
GetPhysicalDriveHandle return 
PrintIdSectorInfo end
SystemDrive
OsUnknown
Windows NT
Windows 2000
Windows XP
Vista
Windows 7
Windows 95
A
Windows 98SE
Windows 98
Windows ME
Unknown
iphlpapi.dll
GetAdaptersInfo
MACS
 = 
ProgramFiles
Internet Explorer\
.
iexplore.exe
 x 
============================ INFORMAÇÕES DA MAQUINA ============================
ID = 
SO = 
NOME PC = 
NOME USUARIO = 
VERSÃO IE = 
HD = 
Resolução = 
DATA/HORA = 
dd/mm/yyyy  hh:nn:ss.zzz
============================ INFORMAÇÕES DA CONTA ==============================
lização Cadastral" type="submit" name="botaoConfirma.x"
https://internetbanking.caixa.gov.br/SIIBC/index.processa
aapj.bb.com.br/aapj
http://www.bb.com.br
aapf/login.jsp?aapf
bancobrasil.com.br/aapf/
http://www.bb.com.br
siwinCtrl
.caixa.gov.br/SIIBC
SIIBC/index.processa
office.bancobrasil.com.br
https://aapj.bb.com.br/aapj/login
https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=
https://aapj.bb.com.br/aapj/loginpfe.bb


El malware monitorea la url que la victima visita, si corresponde con alguna que tiene cargada, el malware arma en el disco local un mini sitio de phishing y así los datos son reenviados a un php en la nube que corresponde al defraudador.


C:\BancoBrasil\officeNE\index.html
C:\BancoBrasil\officePLUGIN\index.html



URLs monitoreadas:


https://internetbankingpf.caixa.gov.br/SIIBC/index.processa
https://www2.bancobrasil.com.br/aapf/includesSRP/processaVersionamentoAAPF.jsp?continuarVersaoAtual=sim
https://www.citibank.com.br/BRGCB/JSO/signon/uname/HomePage.do
https://internetbanking.caixa.gov.br/SIIBC/index.processa
https://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH
http://www.bb.com.br
https://aapj.bb.com.br/aapj/login
http://www.santander.com.br




Sito donde son enviados los datos robados:


http://carlosrobetocamp-com.web16.redehost.com.br/bota38/acesso.php
http://carlosrobetocamp-com.web16.redehost.com.br/quente/px.php
http://carlosrobetocamp-com.web16.redehost.com.br/morno/px.php
http://carlosrobetocamp-com.web16.redehost.com.br/kombi/px.php
http://carlosrobetocamp-com.web16.redehost.com.br/frio/px.php
http://carlosrobetocamp-com.web16.redehost.com.br/cama/px.php



Dump del malware en memoria, pueden usar volatility para ver todos los strings sin el ofuscado.





Aquí la muestra con dumps e info sobre este caso: 

https://dl.dropboxusercontent.com/u/80008916/BankerBrazil-28-05-2013.rar

Passw = infected 

sea cuidadoso :D










Es todo por el momento....



@Dkavalanche 2013




1 comentario:

Blogger dijo...

DreamHost is definitely one of the best website hosting company for any hosting services you require.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...