Les traigo este troyano Screen Overlay programado en Delphi, el cual roba datos de cuentas bancarias de entidades de Chile. Como novedad, un poco vieja y vetusta.. oldschool como diría @bartblaze, el downloader descarga un modulo para inutilizar las actualizaciones o descargas de antivirus con el viejo truco de agregar los sitios en el archivo .host apuntando a la dirección loopback.
E-mail Phishing
Los links aprovechan de una vulnerabilidad de redireccion de url.
hxxp://www.buylebanese.com/authenticate.asp?redirectto=http://www.xxxx.br//envio2/Abrir_DOC.zip
Descargamos la amenaza con malzilla.
Lo subimos a Virus total y descubrimos un indice casi nulo en detecciones 1/47, siendo que solamente esta compactado con UPX. (mal por los muchachos buenos...)
Descarga dos payloads y lo ejecuta, uno es el sound.exe y updateflash.exe
sound.exe Corresponde al troyano bancario Screen Overlay.
V.T. 4/50
Formularios desplegados por la amenaza cuando se vista un determinado URL.
https://www.bancochile.cl/SecurityDevicesAdmin/menuMain.do?
bciimg.bci.cl/sitioseguro/NuevoLogin_act.html',0000h
bci.cl/cl/bci/aplicaciones/seguridad/autenticacion/autenticacionSegundaClave.jsf
https://www.bancochile.cl/bchile-perfilamiento/Process?MID=&AID=LOGIN
https://www.bancosecurity.cl/security/loginsecurity.asp
https://www.bancosecurity.cl/empresas/login/usuario/menu/menuInicio.asp
https://www.bancosecurity.cl/security/cartolaexpress/ba_saldos.asp?
https://empresas.bancosecurity.cl/login-contenido/index.asp
http://www.bci.cl/personas/
www.itau.cl/personas/process.asp?MID=&AID=LOGIN
www.itau.cl/personas/azurian.asp
https://banco.itau.cl/wps/portal/BICPublico/acceso-clientes
Cadenas del troyano (desofuscadas)
.::: Itaú :::. TABELA
=================================
Rut
Clave
Correo
Clave
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
{{{{ Tarjeta de Coordenadas }}}}
[A1]
[A2]
[A3]
[A4]
[A5]
[B1]
[B2]
[B3]
[B4]
[B5]
[C1]
[C2]
[C3]
[C4]
[C5]
[D1]
[D2]
[D3]
[D4]
[D5]
[E1]
[E2]
[E3]
[E4]
[E5]
[F1]
[F2]
[F4]
[F5]
[G1]
[G2]
[G3]
[G4]
[G5]
[H1]
[H2]
[H3]
[H4]
[H5]
[I1]
[I2]
[I3]
[I4]
[I5]
[J1]
[J2]
[J3]
[J4]
[J5]
Gracias por confiar en Itau.cl, ahora ya puede acceder a su cuenta normalmente.
.::: Itaú :::. CORREO
=======================
Correo
Clave
https://banco.itau.cl/wps/portal/BICPublico/acceso-clientes
=======================
Rut
Clave
www.itau.cl/personas/process.asp?MID=&AID=LOGIN
www.itau.cl/personas/azurian.asp
.::: Security :::. TABELA
=================================
Rut
Clave
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
{{{{ Tarjeta de Coordenadas }}}}
[A1]
[A2]
[A3]
[A4]
[A5]
[B1]
[B2]
[B3]
[B4]
[B5]
[C1]
[C2]
[C3]
[C4]
[C5]
[D1]
[D2]
[D3]
[D4]
[D5]
[E1]
[E2]
[E3]
[E4]
[E5]
[F1]
[F2]
[F4]
[F5]
[G1]
[G2]
[G3]
[G4]
[G5]
[H1]
[H2]
[H3]
[H4]
[H5]
[I1]
[I2]
[I3]
[I4]
[I5]
[J1]
[J2]
[J3]
[J4]
[J5]
javascript:daSubmit();
javascript
https://personas.bancosecurity.cl/
=======================
Rut
Clave
frut
clave
.::: Security Persona :::..
lrut
lpass
.::: Security Empresa :::...
https://www.bancosecurity.cl/security/loginsecurity.asp
https://www.bancosecurity.cl/empresas/login/usuario/menu/menuInicio.asp
https://www.bancosecurity.cl/security/cartolaexpress/ba_saldos.asp?
input
entrar
https://empresas.bancosecurity.cl/login-contenido/index.asp
http://www.bci.cl/personas/
=======================
Rut
Clave
=======================
((( TOKEN 2 )))
.::: BCI :::. TOKEN
=======================
((( TOKEN 1 )))
=======================
Serial del Token
=======================
((( TOKEN 3 )))
====================
DIGIPASS 2
DIGIPASS 3
DIGIPASS 4
====================
DIGIPASS 1
www.bancodechile.cl
=======================
Rut
Clave
https://www.bancochile.cl/bchile-perfilamiento/Process?MID=&AID=LOGIN
oft\Windows\Cu
GVideo
SkypeMS
.::: Itaú :::.
.::: BCI :::.
.::: BANCO DE CHILE :::.
pcnome=
http://www.jjsports.com.tw//talk/cache/lop.php
titulo=
texto=
http://www.jaakkootaara.fi/img/kot.php
http://users.jyu.fi/~vitapasa/counter/kot.php
http://www.jaakkootaara.fi/img/nbas.php
http://users.jyu.fi/~vitapasa/counter/lays.php
.exe
.exe
Banco Security
Itaú OnLine Banking
Bci.cl - Personas
Personas | Banco de Chile
Banca Preferencial | Banco de Chile
http://www.jjsports.com.tw//talk/cache/lop.php
http://www.jaakkootaara.fi/img/kot.php
http://users.jyu.fi/~vitapasa/counter/kot.php
http://www.jaakkootaara.fi/img/nbas.php
http://users.jyu.fi/~vitapasa/counter/lays.php
Los datos son grabados en un txt en forma ofuscada:
Aquí desofuscado con un decoder que arme.
updateflash.exe Se ejecuta como una falsa actualización de Adobe Flash la cual intenta interferir en las actualizaciones de los antivirus e inutilizarlos quitando accesos a la carpetas donde se encuentran instalados.
V.T. 8/49
0049480C 'La instalación de Flash Player ha finalizado'
Lineas agregadas al .host para evitar que los antivirus instalados puedan actualizarse o descargarse. (también quita accesos a este archivo)
0049447C
00494494
004944B0
004944C0
004944E0
0049450C
00494530
00494540
00494558
00494578
004945A0
004945B4
004945D0
004945E0
0049462C
Así quedan.
Panel donde se envío la campaña de Phishing:
muestra: https://www.dropbox.com/s/a6wus1509cot0gm/banload%2012-02-14.rar
Es todo por el momento.
@Dkavalanche 2014