En el día de hoy se esta realizando una campaña de phishing que esta propagando un malware que afecta a entidades Bancarias de Chile.
hxxps[:]//bit[.]do/dVy4h
Se está utilizando el siguiente enlace corto para descargar un zip con un .js en su interior que se encuentra codificado con una simple ofuscación de ascii - > Hex -> Text y en otros casos de Hex -> text
El Javascript descarga un jpg de un sitio vulnerado, para luego renombrarlo y ejecutarlo con rundll32.exe
hxxp[:]//www.kabobpalace[.]ca/wp-content/plugins/klaaaaa[.]jpg
Detección en VirusTotal 7/67
Se ejecuta en el sistema de la siguiente manera.
rundll32.exe C:\\ProgramData\\KLJ5TUXBGXY941Z\K9JR7C34N3372CD.dij,_a
El cuerpo del troyano tiene cadenas ofuscadas.
Podemos obtener de ellas los siguientes strings interensantes
<|Folder|>
<|Files|>
<|DownloadFile|>
<|UploadFile|>
VALOR -
TASKKILL /F /
Internet
Mozilla
TASKKILL /F /]
En este momento estamos efectuando una modificacion
En este momento no podemos atenderlo
Hola, Enviamos un codigo como simulacion de transaccion
Su sistema será reiniciado
Los datos ingresados son incorrectos
Ingrese el codigo
\Software\Microsoft\Windows\CurrentVersion\Run
chile.ddns.com.br
Por otro lado podemos obtener las imagenes falsas que se le presentan a la victima para robar los datos de la tarjeta de coordenadas o tokens que se utilizan para realizar las transferencias.
Es todo por el momento @Dkavalanche 2017
