jueves, 27 de noviembre de 2014

Falsa Intimación : Intimacao de n. 9743872. O MINISTERIO PUBLICO FEDERAL‏

Hoy les traigo una amenaza que ataca a varias entidades bancarias de Brasil, mediante ingeniería social apelan a que desprevenidos descarguen una supuesta intimación del ministerio publico federal de Brasil. 

PROCEDIMENTO INVESTIGATÓRIO N.º 33781M. 




El link descarga un zip que en su interior contiene un CPL.

hxxp:// ecole.saintlumine.free.fr/ecolesaintlu/images/Federal.   php

hxxp:// w477408.blob4.ge.tt/streams/73TicN52/Intimacao-Federal.   zip



Analisis en Virus Total con un indice bajo en detecciones.




 0049CDB4 'olepro32.dll'
 0049E440 'ControlData'
 004A0B94 'sejafeliz02'
 004A0BA8 '\\Adobe.zip'
 004A0BBC '\\'
 004A0C88 ''
 004A0DBC '\\Adobe.zip'
 004A0DD0 '\\Runner.exe'
 004A0DE4 '\\borlndmm.dll'
 004A0DFC 'http://greatsteppes.com/1/images/winrt.jpg'



El downloader descarga un archivo del tipo jpg, que en realidad se trata de un ZIP con password.



Archivo ZIP

 004A0DFC 'http://greatsteppes.com/1/images/winrt.jpg'


Password 

 004A0B94 'sejafeliz02'




Analizamos el runner.exe y gbsite.dll que son cargan maliciosas en particular esta ultima.







Analizando el DLL se pueden observar que se trata de un screen overlay viendo sus formularios.


















Datos Ofuscados.


 00A56C34 'A948E60138382B1833D80D55FA31F229BD1425DE45E919C2D5698FBC74F222DA74EE6EEF02'




Se desencriptan como:

http://bandaluxuria.net/blog/upa.inf

En esta url se encuentra un archivo de configuracion del troyano

contienen estos datos ofuscados.

2903
2903
2903
DA19D716CF4023103CD30951FA7FA64A90DA17DB19DC1031B2B142F60C200422DC4093C5618AAD0521BF77DF7DC6D46D80BB7997413CE811C979FB3931F51CAF
0634F23DE455C8B55E89B6033EE60FC60B53E4016790568C9F46F1161529D20927DC7290EA18D263
D456D755


Que corresponden a:

0
0
0
http://ecole.saintlumine.free.fr/ecolesaintlu/images/notify.php
http://agsportualit.com/web/config1.txt
777


Desencriptor programado por mi para realizar esta tarea.



El PHP es donde se dirigen los datos robados.





Muestras: https://www.dropbox.com/s/3vj3igmnfuvn1lf/Intimacao%20de%20n.%209743872-malware-27-11-14.rar?dl=0


Eso es todo por el momento.

@Dkavalanche 2014







No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...