miércoles, 4 de septiembre de 2013

Falsos Correos de UPS II, ahora en forma de Zeus!.

Se volvió con la falsa campaña de UPS que comentamos en otro post,  esta vez lanzaron un Zeus que afecta a entidades de Italia y sitios de redes sociales.

Icono de la Amenaza.


Analisis en VT, con un bajo indice de detecciones.


Analisis del dump en VT sin el crypter y siendo detectado por varios A.V.



Luego del posteo en Tw y copiado @MalwareMustDie, @gN3med1s descubre las urls que se encuentran afectadas por este Zeus





Puede verlo aqui




Una opción fácil para el obtener las Urls que son monitoreadas por Zeus, es infectar una PC y realizar un dump de la memoria con el utilitario de moonsols + strings de sysinternals
win32dd.exe /f zbot.dmp  (obtenemos el dump de la memoria)


De mas esta decir que podemos utilizar este dump y pasarlo por volatility.



Obteniendo los strings.

>strings zboot.dmp | grep -i https:// > salida.txt

(deje solo las que nos interesan)

@https://bancopostaimpresaonline.poste.it/bpiol/lastFortyMovementsBalance.do?method=loadLastFortyMovementList
@https://www3.csebo.it/*
@https://qweb.quercia.com/*
@https://www.sparkasse.it/*
@https://dbonline.deutsche-bank.it/*
@https://*.cedacri.it/*
@https://www.bancagenerali.it/*
@https://www.csebo.it/*
@https://*.deutsche-bank.it/*
@https://hbclassic.bpergroup.net/*/login
@https://nowbankingpiccoleimprese*
@https://www.inbiz.intesasanpaolo.com/*
@https://icb.paschiinazienda.mps.it/RBWeb/RBLite/ContiCorrenti/*
@https://icb.paschiinazienda.mps.it/RBWeb/RBLite/informativeRBLite/*
@https://icb.corporate.biverbanca.it/RBWeb/RBLite/informativeRBLite/*
@https://icb.corporate.biverbanca.it/RBWeb/RBLite/ContiCorrenti/*
@https://*.unicreditcorporate.it/*
@https://*.sparkasse.it/*
@https://paschiinazienda.mps.it/Paschihome/HomeBanking/webnet2.0/RTSitRapp/ASPX/*
@https://hb.mps.it/PaschiHome/HomeBanking/webnet2.0/RTSitRapp/ASPX/*
@https://*.unicredit.it/*
@https://*.csebo.it/*
@https://areariservata.bancamarche.it/*
@https://rob.raiffeisen.it/*
@https://www.credem.it/*
@https://secure1.businesswaybnl.it/*
!https://*.ru/*
!https://server.iad.liveperson.net/*
!https://chatserver.comm100.com/*
!https://fx.sbisec.co.jp/*
!https://match2.me.dium.com/*
!https://clients4.google.com/*
!https://*.mcafee.com/*
!https://www.direktprint.de/*
!https://it.mcafee.com*
!https://telematici.agenziaentrate.gov.it*
!https://www.autobus.it*
!https://www.vodafone.it/*
!https://*.lphbs.com/*
@https://*.onlineaccess*AccountOverview.aspx
@https://www.mercantilcbonline.com/secure/banking/protected/gridcard/*



Gracias a @MalwareMustDie, @gN3med1s y @rfb_
Muestra:  https://www.dropbox.com/s/33xl4ka6rbf2r9p/Zbot-3-09-13.zip?m

Password = infected






Es todo por el momento....



@Dkavalanche 2013
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!