lunes, 4 de agosto de 2014

Troyano Brasileño roba cientos de datos.


Aquí con UDs. otra muestra de este ya conocido troyano Screen Overlay, esta vez se ha encargado de robar ciento de datos de todo tipo, ya sea bancarios (ITAU, Caixa, Banco do Brasil) como de cuentas de correo de hotmail, gmail, uol, yahoo, pop3, . Estos datos son dejados en un servidor en la nube sin ningun tipo de cifrado de datos por lo que pueden ser leídos por cualquier curioso...
Gracias a Raul por el envío de este malware.


Downloader:

Analisis en V.T. del archivo adjunto


Se trata de un .CPL compilado en Delphi7.


Algunos Strings interesantes:

 004917AC 'Brasil'
 004917BC 'E473BA5D9C48FB27D679AD3790C3DA67995994B66D934F'
 004917F4 '\\Desk'
 00491804 'Settings\\'
 00491818 '\\D'
 00491824 '\\'
 00491830 'D'
 0049183C 'a'
 00491848 'd'
 00491854 'o'
 00491860 's'
 0049186C ' '
 00491878 'e'
 00491884 'aplicativos\\'
 0049189C 'Users\\'
 004918AC '\\AppData\\Roaming\\'
 004918C8 ':\\'
 004918D4 '79BB689F5EDA5CC6BAC0CCC2C1C3C8B3BDBAB1A89185FC7EE0246CA3'
 00491918 '88E2403B'
 0049192C '78BB78E517D210'
 00491944 '222F262FCD67FE1C2CBB3DBE37BE37C346DB698EADB148DD628CE87DF977FE61E9738BA7A6B03DB632B6274CE469'
 004919AC 'F079'
 004919BC ':\\Windows\\System32\\REGSVR32.EXE  \"'
 004919E0 '2.jpg\"'
 004919F0 '57D7'
 004919F8 '6.jpg\"'
 00491A08 'C5A0'
 00491A10 '5.jpg\"'
 00491A20 '5.jpg'
 00491A30 '5.txt'
 00491A40 ':\\Windows\\System32\\cmd.exe /k regsvr32.exe  \"'
 00491A78 '\"'
 00491A84 '2.jpg'
 00491A94 '2.txt'
 00491AA4 '6.jpg'
 00491AB4 '6.txt'


Cadenas codificadas:

E473BA5D9C48FB27D679AD3790C3DA67995994B66D934F
79BB689F5EDA5CC6BAC0CCC2C1C3C8B3BDBAB1A89185FC7EE0246CA3
88E2403B
78BB78E517D210
222F262FCD67FE1C2CBB3DBE37BE37C346DB698EADB148DD628CE87DF977FE61E9738BA7A6B03DB632B6274CE469

Decodifican como:

Documents and Settings
http://198.23.250.211/2107/
058
id.sys
SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

Este downloader descarga tres amenazas mas desde http://198.23.250.211/2107/



2.txt (es un cpl que es cargado en memoria por el downloader)


Analisis en V.T. 




Cadenas codificadas:

62F138EF1BCF6880B9EA0444831DA73AC47EE1721CE0634C874
36CB769B87A84EF668F9588D
0830C97B9042F228C40B4094F76CE2191223CC
223FF821D77BCD5E8CC803CF084690B88D84B05E8BBA5491
BA7EB46A81B176964369BC80F4F8FC4659DA94A89A2
7EEB4427C173B335886
48C1739546E918C3CA1C6024E9A30
59EE09281839FE210257F3D63
20D86293B86A9A40EC5388CCCF044AFE788D59
D442FB26D070C641E96AECD972EC6983F66A96B15F96BF7D
54E70EC169995E8E4E83D0074787C3C7DB540F022CB7EA571953794CD0D4EF76D9C47F3
14072DE2063AFE29D0C332AB2FAD2ED568DF543FC473A55E85C4110976E76DE2063EFA
25026AC97CA94AE61704051D5FF94DFF39F20D66E40933C97FDB63
BB4DF719092ECB74EF61E77D
3FFB0530DD0F27D47BDD73E723B118CCAF45EE
1C053EE41336000826A6212EAE2FAB443120DC0A27DE0825
39F83FF018C8618B4D9CC9005EF06684B3243F525CE71A849FF5989D4044E8AC762
C3579D51F829C16A9380F660FB5080A75A2D0368E71037CF73ED39449530A826C4
83EC4526C072B25981
53DE57CCB4A788F569ADD373E5AA6E4
F1002CE31A16130F0D75939FF0C739880E74E3251D1C150C3CFD184E8A80D90A5F9D5A85F52CDC74
27D512C578F076E857A33EF266A95FA65C2A48BF767DA42F42660FA4C4297CF0E3DD548FE2DD5
53DE57CCB4A788F569ADD73E5ABAD7
E013DF17C946231F1D65A9EF1C63A890979F948E28D84FB0CCDC9CE3C4D4492C5649C5C8DF12AAB2C
7BB976A954CCAD918FFB00167A858AF270F67CE656CBB247F4117693F21AB022DF0F3C2CD677DE
2B0667DC45343F201B61BBD4385E
F40723D40B0760C2BEC4C8CE3D42493330363D252140D7484B5D10452B822B228D4033E2AD071D8
F938F42AD44D2A1408729EF41B64AB9592949B87F66AD16497F35D868CC114B258F26D9B4EF6
011FD679A04CE71BC3205114A8DC6DF7A8AA9472FB22CE0A
B05E9B5389B049FD33CAB
A0A6B257F527CCA314B8397C00344789A55291A35188BC51
222DF813DC17785
C04CE70E3CE000A
52F461
73958EBD6w0E61EDF0C35B9931A722B2689AA1
0D2CC8B56e7A240
2BCE6BDA003BF8
29CB18CF0E0A6FD348B2DE355BA4EB54D352D9403F3229DB1D79ED6AA03AAA20DC1BC6B2699933
63915E914CC44A59987F3187E828D82FA78FE74EE6EE35BED2B6FA8E5276EF86C9E5980A99D469738
985B974FF16ECBB7A5ED1278848B80F87EF87EE454CDB447F2174F8D85DE75EA11CF73E712329B

Decodifican como:

Internet Explorer_Server
[bb.com.br]
bancobrasil.com.br
Caixa Econômica Federal
internetbankingcaixa
30 horas
Sicredi Total
[bb.com.br]
bancobrasil.com.br
Caixa Econômica Federal
internetbankingcaixamozillafirefox
Internet Banking - Mozilla Firefox
30 horas - Mozilla Firefox
[bb.com.br]
bancobrasil.com.br
Caixa Econômica Federal
internetbankingcaixagooglechrome
Internet Banking - Google Chrome
30 horas
1xx.xx.xx.xxx6  (x eliminado por seguridad)
http://1xx.xx.xx.xxx6/av/ad/acesso.php
http://1xx.xx.xx.xxx6/ct/my/manda.php
http://1xx.xx.xx.xxx6/av/058/acesso.php
http://1xx.xx.xx.xxx6/ct/058/manda.php
http://1xx.xx.xx.xxx6/av/af/acesso.php
http://1xx.xx.xx.xxx6/ct/va/manda.php
Documents and Settings
Settings\
\Dados de aplicativos\
Users\
Users\
\D
\AppData\Roaming\
id.sys
id.sys
http://1xx.xx.xx.xxx6/av/ad/acesso.php
http://1xx.xxx.xx1.xx/av/058/acesso.php
http://1xx.9xx.1xx.1xx/av/af/acesso.php


Imágenes de los formularios falsos invocados por la amenaza.


















Datos guardados en el servidor mediante manda.php



Datos encontrados en el servidor:

Gmail

Uol

Datos Bancarios/Boletos



5.txt  (es un cpl que es cargado en memoria por el downloader)

Analisis en V.T. 


Strings:

 00489DF0 'ServletGeraImg?acao=barra'
 00489E14 '984'
 00489E20 'codbar'
 00489E30 '987'
 00489E3C 'CodigoBarra'
 00489E50 'op=bolas'
 00489E64 'log='
 00489E74 'sen='
 00489E84 '  30/07'
 00489E94 'vlr='
 00489EA4 'dts='
 00489EB0 'sit=\07??'


Codigo Javascript


Este troyano estaría relacionado con el robo de Boletos, que es un método de pago muy popular en Brasil.

Pueden leer la nota sobre este tema en el blog de Kaspersky


El truco no es complicado, explicó Bestúzhev. Mientras un usuario está imprimiendo su Boleto, un troyano en el ordenador de la víctima modifica el código de barras del Boleto. Entonces, el Boleto impreso es inservible. El criminal utiliza después el código de barras legítimo del Boleto para transferir dinero a su propia cuenta.



6.txt  (es un cpl que es cargado en memoria por el downloader)

Analisis en V.T. 


Strings:
 0047FFB0 'op=fc'
 0047FFC0 'log='
 0047F3CC 'L-O-O-K'
 0047FD58 'Documents and Settings'
 0047FD78 '\\Desk'
 0047FD88 'u8v7DgLUz2nC'
 0047FDA0 'xeq'
 0047FDAC 'xerHzg6ZigrLigfWBgLJyxrPDM6Zxa'
 0047FDD4 'vxnLCNnC'
 0047FDE8 '\\AppData\\Roaming\\'
 0047FE04 'i'
 0047FE10 'Password:'
 0047FE3C 'Fimsmtp'
 0047FE78 'id.sys'
 0047FE88 'al'
 0047FE94 'Ahr7CdOV
 0047C114 'dbx'
 0047C120 'wab'
 0047C408 '*.dbx'
 0047C418 'C:\\'
 0047C424 'dbx'
 0047C430 '*.wab'
 0047C440 'wab'
 0047C44C '*.mbx'
 0047C45C 'mbx'
 0047C468 '*.mai'
 0047C478 'mai'
 0047C484 '*.eml'
 0047C494 'eml'
 0047C4A0 '*.tbb'
 0047C4B0 'c:\\'
 0047C4BC 'tbb'
 0047C4C8 '*.mbox'
 0047C4D8 'mbox'
 0047C9BC 'ps'
 0047C9C8 'to'
 0047C9D4 're'
 0047C9E0 'c.'
 0047C9EC 'dl'
 0047C9F8 'l'


Decodifican como:
 \Software\Microsoft\Internet Account Manager\Accounts
Identi
Account Name
Account Name
Nome  .....: 
SMTP Display Name
Login .....: 
POP3 User Name
Senha .....: 
POP3  .....: 
POP3 Server
SMTP  .....: 
SMTP Server
Nome  .....: 
2l3oþ%HROM€˜þ-‚ŽD
Login .....: 
POP3 User Name
Senha .....: 
POP3  .....: 
POP3 Server
SMTP  .....: 
SMTP Server

Este modulo se encarga de robar datos de POP3, IMAP





Muestra:  https://www.dropbox.com/s/lter3agprah9pcl/banker-02-08-14.rar




Eso es todo por el momento.

@Dkavalanche 2014

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...