viernes, 28 de abril de 2017

Falsa Factura electrónica de Telefónica Arg. Descarga Troyano (Darktrack Alien RAT)


Me llamo mucho la atención el aviso de Raúl en su twitter, por lo que pasamos a verlo.

El correo phishing, es una copia a la factura digital de Telefónica Argentina, con el link de descarga que apunta a un documento .DOC alojado en Dropbox.


Una vez abierto el documento nos indica que debemos habilitar el contenido para que se ejecute la macro auto-open

La macro, abre una imagen falsa y ejecuta un .vbs en el %appdata%/temp y termina ejecutando un .exe que esta hardcodeado en el vbs.





Este ejecutable descomprime dos amenazas.
Aquí vemos la persistencia en el sistema


https://www.virustotal.com/es/file/68dfe14103ffa2befb39d8bda4bd65e09eff90de6b2c203e6ba5a7810053c089/analysis/1491585453/
https://www.virustotal.com/es/file/d4ba451fae6310e27806d10e5835f08263a8c5f0308fa1eaa151870a1c3f154a/analysis/1491585564/

La amenaza se inyecta en un proceso Notepad.exe



Strings interesantes




080IAM010010DAR8K89TR3SDTACK
4.1 Alien+
Local User
123456
127.0.0.1
notepad.exe
SYSTEMROOT
WINDIR
APPDATA
ZYYd
(D@
TClientSocket

Todo indicaría que se trata del siguiente RAT

www[.]nulled[.]to[/]topic[/]186564-darktrack-41-alien-legit-verion-remote-admin-tool/



 Comunicación con el C&C 





Esta amenaza se utiliza para controlar la pc de la victima, es posible subir y ejecutar otras amenaza como ser Ransomware.



Muestras: https://www.dropbox.com/s/9wyu52hn2itmqb9/malw%20-07-04-17-telefonica.7z?dl=0



Es todo por el momento @Dkavalanche 2017







No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...