miércoles, 4 de septiembre de 2013

Falsos Correos de UPS II, ahora en forma de Zeus!.

Se volvió con la falsa campaña de UPS que comentamos en otro post,  esta vez lanzaron un Zeus que afecta a entidades de Italia y sitios de redes sociales.



Icono de la Amenaza.




Analisis en VT, con un bajo indice de detecciones.


Analisis del dump en VT sin el crypter y siendo detectado por varios A.V.



Luego del posteo en Tw y copiado @MalwareMustDie, @gN3med1s descubre las urls que se encuentran afectadas por este Zeus





Puede verlo aqui




Una opción fácil para el obtener las Urls que son monitoreadas por Zeus, es infectar una PC y realizar un dump de la memoria con el utilitario de moonsols + strings de sysinternals


win32dd.exe /f zbot.dmp  (obtenemos el dump de la memoria)




De mas esta decir que podemos utilizar este dump y pasarlo por volatility.



Obteniendo los strings.

>strings zboot.dmp | grep -i https:// > salida.txt

(deje solo las que nos interesan)

@https://bancopostaimpresaonline.poste.it/bpiol/lastFortyMovementsBalance.do?method=loadLastFortyMovementList
@https://www3.csebo.it/*
@https://qweb.quercia.com/*
@https://www.sparkasse.it/*
@https://dbonline.deutsche-bank.it/*
@https://*.cedacri.it/*
@https://www.bancagenerali.it/*
@https://www.csebo.it/*
@https://*.deutsche-bank.it/*
@https://hbclassic.bpergroup.net/*/login
@https://nowbankingpiccoleimprese*
@https://www.inbiz.intesasanpaolo.com/*
@https://icb.paschiinazienda.mps.it/RBWeb/RBLite/ContiCorrenti/*
@https://icb.paschiinazienda.mps.it/RBWeb/RBLite/informativeRBLite/*
@https://icb.corporate.biverbanca.it/RBWeb/RBLite/informativeRBLite/*
@https://icb.corporate.biverbanca.it/RBWeb/RBLite/ContiCorrenti/*
@https://*.unicreditcorporate.it/*
@https://*.sparkasse.it/*
@https://paschiinazienda.mps.it/Paschihome/HomeBanking/webnet2.0/RTSitRapp/ASPX/*
@https://hb.mps.it/PaschiHome/HomeBanking/webnet2.0/RTSitRapp/ASPX/*
@https://*.unicredit.it/*
@https://*.csebo.it/*
@https://areariservata.bancamarche.it/*
@https://rob.raiffeisen.it/*
@https://www.credem.it/*
@https://secure1.businesswaybnl.it/*
!https://*.ru/*
!https://server.iad.liveperson.net/*
!https://chatserver.comm100.com/*
!https://fx.sbisec.co.jp/*
!https://match2.me.dium.com/*
!https://clients4.google.com/*
!https://*.mcafee.com/*
!https://www.direktprint.de/*
!https://it.mcafee.com*
!https://telematici.agenziaentrate.gov.it*
!https://www.autobus.it*
!https://www.vodafone.it/*
!https://*.lphbs.com/*
@https://*.onlineaccess*AccountOverview.aspx
@https://www.mercantilcbonline.com/secure/banking/protected/gridcard/*



Gracias a @MalwareMustDie, @gN3med1s y @rfb_



Muestra:  https://www.dropbox.com/s/33xl4ka6rbf2r9p/Zbot-3-09-13.zip?m

Password = infected






Es todo por el momento....



@Dkavalanche 2013


No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...