lunes, 27 de marzo de 2017

Gracias por la Donación: Continúan los ataques con documentos word con Macros.



Al igual que en otros casos llega por correo spam con un zip con un documento .doc con macros maliciosas que descargan Neurevt





Una vez abierto el documento se solicita habilitar el contenido, apelando una vez más al descuido de la víctima.





El macro, genera un .VBS que es el encargado de descargar el binario.







Quitamos los /***/ y obtenemos el sito de descarga http




Análisis del binario descargado por la macro .doc

https://www.virustotal.com/es/file/eb2421b85cd190084f28ee861681e88f2bfe2f7237b6c5d780f03c2ba896d0c4/analysis/






Quitamos la primera capa de ofuscación del código malicioso y obtenemos una muestra "más limpia"




https://virustotal.com/es/file/8394e9f616b66070385572fa54d11bd22a7913dd9dfedac298eef5bb16640f78/analysis/1490299891/


Reporte al sitio de C&C

"POST /kin/logout.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)
Host: nwefbnujngohreogojgr.ru
Content-Length: 1111
Cache-Control: no-cache" with no payload



Esta amenaza puede ser utilizada para robar información de la PC como también controlarla remotamente, o subir un Ransomware.



Muestra: https://www.dropbox.com/s/fic9oudzsd2lckt/BetaBot%2023-03-17.rar?dl=0



Es todo por el momento @Dkavalanche 2017




No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...