El siguiente caso se trata de un troyano bancario que afecta a varias entidades de Brasil, es del tipo Screen Overlay, el cual esta constantemente monitoreando la URL que se visita y de coincidir con las que tiene programadas, se desplegaran falsos formularios donde el cliente infectado cargara los datos.
En este caso en particular, afecta a la Banca Empresas de Bradesco solicitando el archivo .crt o .key y la clave del certificado para ser enviados a un servidor ms-sql donde se guardaran estos datos.
Falso correo para infectar desprevenidos.
Links de la amenaza
hxxp://cor.to/kalla
hxxp://ow.ly/fss2u
hxxp://brandl.com.br/images/send/visualizar.zip
Análisis en VT.
Se descarga una aplicación .CPL que corresponde a un archivo del Control Panel de Windows ...(?)
Corresponde a una DLL programada en Delphi
Para Cargarla en Ollydbg se tiene que lanzar la loaddll.exe
Se verifica si se esta corriendo en un entorno debuggeado.
Aquí analizando el trafico, podemos ver que se descargan varios archivos.
Luego de la descarga, se nos redirige a un sitio de Phishing de facebook....
Se descargan en c:\windows\
satj.bat
braj.bat
brcf.bat
stf.bat
Y cuatro .DLL
iexplore.dll
cf.dll
stj.dll
fra.dll
Los bat's registran los dll en el sistema y afectan al proceso explorer.exe
@echo off
echo.
regsvr32 /s iexplorer.dll
echo.
REGSVR32
Register or unregister a DLL.
Syntax
REGSVR32 [/U] [/S] [/N] /I:[CommandLine] DLL_Name
Key
/u Unregister Server.
/s Silent, do not display dialogue boxes.
/i Call DllInstall to register the DLL.
(when used with /u, it calls dll uninstall.)
/n Do not call DllRegisterServer, you must use this option with /i.
CommandLine An optional command line for DllInstall
/c Console output (old versions only).
Estos dll son cuatro troyanos bancarios... sisi... no es uno.. son cuatro troyanos distintos..
Cada uno de estos Troyanos afecta a uno o varias entidades bancarias Brasileñas distintas.
Análisis por DLL.
CF.DLL
Afecta a:
safranet.com.br
caixa
BancoDoBrasil
Análisis en V.T. con un indice muy bajo en detecciones.
Falsos formularios que despliega el malware.
falsa instalación de certificado, intenta hacer creer que pertenece al antitroyanos GAS utilizado por este banco.
Datos que son tomados y enviados al defraudador.
FRA.DLL
Afecta a:
Santander Brasil
Análisis en V.T. con un indice muy bajo en detecciones.
Falsos formularios que despliega el malware.
Pedido de datos de la tarjeta de coordenadas.
STJ.DLL
Afecta a:
Santander Brasil
Análisis en V.T. con un indice muy bajo en detecciones.
Falsos formularios que despliega el malware.
Pedido de token, presumiblemente este modulo se utiliza para realizar las transacciones al vuelo.
IEXPLORE.DLL (el mas interesante)
Afecta a:
BRADESCO
Análisis en V.T. con un indice muy bajo en detecciones.
Proceso ieplore.dll en memoria.
URL que se monitorea https://bradesconetempresa.com.br/ne/iniciasessao.asp
Cuando se ingresa a la url del banco, se mata el proceso del navegador y se abre un falso sitio que se arma en nuestro PC en C:\https con el iexplore.exe
00A97ECC MOV EAX,iexplore.00A98114 UNICODE "C:\https"
00A97ED6 MOV EAX,iexplore.00A98134 UNICODE "C:\https\www"
00A97EE4 MOV EAX,iexplore.00A98134 UNICODE "C:\https\www"
00A97EEE MOV EAX,iexplore.00A98134 UNICODE "C:\https\www"
00A97EFC MOV EAX,iexplore.00A98134 UNICODE "C:\https\www"
00A97F23 MOV ECX,iexplore.00A9815C UNICODE "\com"
00A97F42 MOV ECX,iexplore.00A9815C UNICODE "\com"
00A97F5D MOV ECX,iexplore.00A98174 UNICODE "\com\br"
00A97F7C MOV ECX,iexplore.00A98174 UNICODE "\com\br"
00A97F97 MOV ECX,iexplore.00A98190 UNICODE "\com\br\ne"
00A97FB6 MOV ECX,iexplore.00A98190 UNICODE "\com\br\ne"
00A97FD6 MOV ECX,iexplore.00A981B4 UNICODE "\com\br\ne\sessao.html"
00A98002 MOV ECX,iexplore.00A981F0 UNICODE "\com\br\ne\iniciasessao.html"
00A9803B MOV ECX,iexplore.00A98238 UNICODE "\com\br\ne\msg_certificacao.html"
00A9807E MOV ECX,iexplore.00A98238 UNICODE "\com\br\ne\msg_certificacao.html"
Sitio falso armado en nuestra PC.... Se pide el certificado digital.
Ubicación del certificado.
Una vez ubicado, se solicita la clave del certificado.
00A98AA6 PUSH iexplore.00A98C7C UNICODE ".crt"
00A98AEB PUSH iexplore.00A98C94 UNICODE ".key"
Envió de los datos a un servidor ms-sql
00A98331 PUSH iexplore.00A98690 UNICODE "INSERT INTO "
00A9833C PUSH iexplore.00A986B8 UNICODE " (NM_PC) VALUES ('"
00A9834E PUSH iexplore.00A986EC UNICODE "')"
00A9838B PUSH iexplore.00A98700 UNICODE "SELECT TOP 1 ID_PC AS CO_MAQUINA FROM "
00A98396 PUSH iexplore.00A9875C UNICODE " WHERE NM_PC='"
00A983A8 PUSH iexplore.00A98788 UNICODE "' ORDER BY ID_PC DESC"
00A983E4 MOV EDX,iexplore.00A987C0 UNICODE "CO_MAQUINA"
00A98417 PUSH iexplore.00A987E4 UNICODE "UPDATE "
00A98422 PUSH iexplore.00A98800 UNICODE " SET NM_TOKEN= '"
00A9842A PUSH iexplore.00A98830 UNICODE "', ST_ENVIADO='1', DS_SENHA='"
00A98440 PUSH iexplore.00A98878 UNICODE "', DS_CRT=:LOCAL1, DS_KEY=:LOCAL2 WHERE ID_PC="
00A9849B MOV EDX,iexplore.00A988DC UNICODE "Local1"
00A984D9 MOV EDX,iexplore.00A988F0 UNICODE "Local2"
NUEVA INFO.
Las DLL son incorporadas como complementos del IE.
Bradesco, tiene en su sitio de empresas un complemento con el cual se carga el certificado digital del Banco y es utilizado para firmar operaciones.
Lo que pretende el troyano es imitar este complemento para engañar a los clientes infectados y lograr hacerse del certificado digital proporcionado por el banco, con el cual se pueden firmar operaciones en forma fraudulenta.
Sitio de Bradesco y su ActiveX
Aquí el complemento Original del Banco
Trafico entre el complemento original y el sitio de Bradesco, en ningún caso es mediante ms-sql.
Thank you for your submission.
The detection of the threat is covered by the current signature database.
cf.dll - Win32/Spy.Banker.YQF trojan
fra.dll - Win32/Spy.Banker.YGM trojan
stj.dll - Win32/Spy.Banker.YGM trojan
iexplorer.dll - Win32/Spy.Banker.YGM trojan
visualizar.cpl - Win32/TrojanDownloader.Banload.RQF trojan
Regards,
ESET Malware Response Team
Muestra en: (sea cuidadoso)
http://www.mediafire.com/?hhy7yzn404kbpqy
Password = infected.
@Dkavalanche 2012
2 comentarios:
Que buen análisis Ernesto!
Gracias Raul!
Un Abrazo!
Publicar un comentario