Hoy les traigo una nueva amenaza utilizada por los cybercriminales, en este caso para reclutar maquinas zombies y realizar Pharming a una entidad Bancaria.
Falso correo de la empresa CLARO, en la que se invita a descargar un mms.
Se trata de un archivo ejecutable SCR
Análisis de VT
Extraemos el Zip, el cual contiene un ejecutable.
Análisis en VT.
Este ejecutable se trata de un VBCrypt, el cual se utiliza para ocultar la carga maliciosa, la cual se trata de un SmoKe Bot. (Lo pueden encontrar en la muestra que les dejo como sound_unCript_1.EXE)
Este Bot, consiste en un ejecutable programado en C++ con un tamaño de 9k, el cual al ser ejecutado crea un svchost.exe y se inyecta en el, esto es para pasar desapercibido en el TaskManager y poder evadir libremente el firewall de windows.
Se conecta a un C&C y envía/recibe datos en base64 (codificados).
Contiene rutinas anti-debugging y detección de Vmware, Qemu y Sboxie.
Durante el análisis dinámico de la amenaza, se puede observar el trafico y el pharming realizado sobre una entidad bancaria.
Es todo por el momento.
Muestras: http://www.mediafire.com/?npxpi8hwyrroyjb
password = infected
@Dkavalance 2012
1 comentario:
dravalanchelabs[en]yahoo.com.ar
Publicar un comentario