Vuelve a aparecer una nueva campaña con PiceBot, un malware que realiza pharming local con el fin de redirigir a las victimas a sitios de phishing. En este caso afecta a entidades bancarias de Chile y Perú.
Correo Phishing.
Icono del malware.
Análisis en V.T. con un indice muy bajo en detecciones.
Con Ollydbg cargamos la muestra del malware y ponemos los siguientes BP para poder llegar al troyano sin ofuscar (dump)
IsDebuggingPresent (.........la parcheamos)
WriteProcessMemory
Strings interesantes en el Dump.
00401C08 DD picebot.004028E0 UNICODE "687474703A2F2F3139322E3231302E3230312E3132342F64622F"
http://192.210.201.124/db/
00401C20 DD picebot.00402988 UNICODE "5C696578706C6F7265722E657865" \iexplorer.exe
00401C2C DD picebot.004029DC UNICODE "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473"
C:\WINDOWS\System32\drivers\etc\hosts
746F6D612E7068703F4F733D toma.php?Os==
64622F75726C5F6465732E747874 db/url_des.txt
433A5C57494E444F57535C73797374656D33325C57696E7465722E657865 C:\WINDOWS\system32\Winter.exe
433A5C57494E444F57535C696578706C6F7265722E657865 C:\WINDOWS\iexplorer.exe
Accediendo a la configuración del pharming con malzilla
URL: http://192.210.201.124/db/toma.php?Os==
Panel de la Botnet
Muestra https://dl.dropboxusercontent.com/u/80008916/Picebot-28-10-13.rar
Password = infected.
Es todo por el momento.
@Dkavalanche 2013.
No hay comentarios:
Publicar un comentario