viernes, 6 de diciembre de 2013

XtremeRAT - Falsa comunicación sobre las ganancias y trabas de inmuebles por incumplimiento de ARBA.


Hoy voy a comentar este caso de phishing, que intenta seducir a los incautos a descargar un falso aplicativo para contribuyentes, infectando así. el sistema windows con un XtremeRAT. Este troyano cumple las funciones de un Control Remoto (Remote Admin Tool), el cual el botmaster puede controlar en forma remota todas las acciones del computador, como ser tomar capturas de la pantallas, tecleo del usuario (keylogger), grabar audio y video, transmisión de archivos entre otras cosas...


Falso Correo.

Asunto: Ley 17.021 Incumplimiento ARBA
De:       ARBA - Dep. Legales [arba@arba.com.ar]
Para:
Enviado: 06/12/2013 09:08 a.m.







Análisis en VT con un indice casi FUD del archivo. 2/49




El enlace descarga un archivo .RAR con un ejecutable en su interior, con doble extensión  para tratar de simular ser un pdf, muchos incautos caen en este ardid al darle doble click directamente desde el rar.




Icono de la aplicación, parece ser un VBasic, seguro es la capa de ofuscación o cripter





En OllyDbg, vemos una de las técnicas anti debugging utilizadas por este cripter.


BP WriteProcessMemory y obtenemos el ejecutable sin ofuscar.


Uhhh esta con UPX...


Análisis en V.T. sin el Crypter, ahora un poco mejor para los A.V.....




Strings interesantes en el dump final... XtremeRat.



 Keylogger:
0006315   ASCII "ServerKeylogger"
10006567   MOV EDX,Dump_sin.1000666C                 UNICODE "24"
10006576   MOV EDX,Dump_sin.10006678                 UNICODE "00"
10006AB2   MOV EDX,Dump_sin.100071F4                 UNICODE "[Numpad +]"
10006AC3   MOV EDX,Dump_sin.10007210                 UNICODE "[Backspace]"
10006AD4   MOV EDX,Dump_sin.1000722C                 UNICODE "[Numpad .]"
10006AE5   MOV EDX,Dump_sin.10007248                 UNICODE "[Numpad /]"
10006AF6   MOV EDX,Dump_sin.10007264                 UNICODE "[Esc]"
10006B07   MOV EDX,Dump_sin.10007274                 UNICODE "[Execute]"
10006B18   MOV EDX,Dump_sin.1000728C                 UNICODE "[Numpad *]"
10006B29   MOV EDX,Dump_sin.100072A8                 UNICODE "[Numpad 0]"
10006B3A   MOV EDX,Dump_sin.100072C4                 UNICODE "[Numpad 1]"
10006B4B   MOV EDX,Dump_sin.100072E0                 UNICODE "[Numpad 2]"
10006B5C   MOV EDX,Dump_sin.100072FC                 UNICODE "[Numpad 3]"
10006B6D   MOV EDX,Dump_sin.10007318                 UNICODE "[Numpad 4]"
10006B7E   MOV EDX,Dump_sin.10007334                 UNICODE "[Numpad 5]"
10006B8F   MOV EDX,Dump_sin.10007350                 UNICODE "[Numpad 6]"
10006BA0   MOV EDX,Dump_sin.1000736C                 UNICODE "[Numpad 7]"
10006BB1   MOV EDX,Dump_sin.10007388                 UNICODE "[Numpad 8]"
10006BC2   MOV EDX,Dump_sin.100073A4                 UNICODE "[Numpad 9]"
10006BD3   MOV EDX,Dump_sin.100073C0                 UNICODE "[Back Tab]"
10006BE4   MOV EDX,Dump_sin.100073DC                 UNICODE "[Copy]"
10006BF5   MOV EDX,Dump_sin.100073F0                 UNICODE "[Finish]"
10006C06   MOV EDX,Dump_sin.10007408                 UNICODE "[Reset]"
10006C17   MOV EDX,Dump_sin.1000741C                 UNICODE "[Play]"
10006C28   MOV EDX,Dump_sin.10007430                 UNICODE "[Process]"
10006C39   MOV EDX,Dump_sin.10007448                 UNICODE "

100084FF   MOV EDX,Dump_sin.10008608                 UNICODE "XtremeKeylogger"
10008549   MOV EDX,Dump_sin.1000862C                 UNICODE "qualquercoisarsrsr"

Persistencia en el sistema:

1000935B   MOV EDX,Dump_sin.100095C8                 UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"

10009395   MOV EDX,Dump_sin.100095C8                 UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"

Inyección en svchost.exe
1000AF84   DD Dump_sin.1000AEBC                      UNICODE "svchost.exe"


1000AF8C   DD Dump_sin.1000AE94                      UNICODE "%DEFAULTBROWSER%"
1000AF90   PUSH EBP                                  (Initial CPU selection)
1000B01B   MOV EDX,Dump_sin.1000B52C                 UNICODE "restart"
1000B04F   PUSH Dump_sin.1000B53C                    UNICODE "open"
1000B072   MOV EDX,Dump_sin.1000B54C                 UNICODE "update"
1000B0DB   MOV EDX,Dump_sin.1000B560                 UNICODE "CONFIG"
1000B123   MOV EDX,Dump_sin.1000B574                 UNICODE "SOFTWARE\XtremeRAT"
1000B15F   MOV ECX,Dump_sin.1000B5A0                 UNICODE "Mutex"
1000B164   MOV EDX,Dump_sin.1000B574                 UNICODE "SOFTWARE\XtremeRAT"
1000B1BB   PUSH Dump_sin.1000B5B8                    UNICODE ".cfg"
1000B254   MOV EDX,Dump_sin.1000B560                 UNICODE "CONFIG"

1000B2FF   MOV EDX,Dump_sin.1000B560                 UNICODE "CONFIG"




Comunicación con el C&C

nextel02.no-ip.biz
sytes-net.sytes.net























Sample + dump : https://dl.dropboxusercontent.com/u/80008916/arba.xtreme.rar

Password = infected.

@Dkavalanche 2013






1 comentario:

Blogger dijo...

BlueHost is the best website hosting company with plans for any hosting requirements.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...