Hoy voy a comentar este caso de phishing, que intenta seducir a los incautos a descargar un falso aplicativo para contribuyentes, infectando así. el sistema windows con un XtremeRAT. Este troyano cumple las funciones de un Control Remoto (Remote Admin Tool), el cual el botmaster puede controlar en forma remota todas las acciones del computador, como ser tomar capturas de la pantallas, tecleo del usuario (keylogger), grabar audio y video, transmisión de archivos entre otras cosas...
Falso Correo.
Asunto: Ley 17.021 Incumplimiento ARBA
De: ARBA - Dep. Legales [arba@arba.com.ar]
Para:
Enviado: 06/12/2013 09:08 a.m.
Análisis en VT con un indice casi FUD del archivo. 2/49
El enlace descarga un archivo .RAR con un ejecutable en su interior, con doble extensión para tratar de simular ser un pdf, muchos incautos caen en este ardid al darle doble click directamente desde el rar.
Icono de la aplicación, parece ser un VBasic, seguro es la capa de ofuscación o cripter
En OllyDbg, vemos una de las técnicas anti debugging utilizadas por este cripter.
BP WriteProcessMemory y obtenemos el ejecutable sin ofuscar.
Uhhh esta con UPX...
Análisis en V.T. sin el Crypter, ahora un poco mejor para los A.V.....
Strings interesantes en el dump final... XtremeRat.
Keylogger:
0006315 ASCII "ServerKeylogger"
10006567 MOV EDX,Dump_sin.1000666C UNICODE "24"
10006576 MOV EDX,Dump_sin.10006678 UNICODE "00"
10006AB2 MOV EDX,Dump_sin.100071F4 UNICODE "[Numpad +]"
10006AC3 MOV EDX,Dump_sin.10007210 UNICODE "[Backspace]"
10006AD4 MOV EDX,Dump_sin.1000722C UNICODE "[Numpad .]"
10006AE5 MOV EDX,Dump_sin.10007248 UNICODE "[Numpad /]"
10006AF6 MOV EDX,Dump_sin.10007264 UNICODE "[Esc]"
10006B07 MOV EDX,Dump_sin.10007274 UNICODE "[Execute]"
10006B18 MOV EDX,Dump_sin.1000728C UNICODE "[Numpad *]"
10006B29 MOV EDX,Dump_sin.100072A8 UNICODE "[Numpad 0]"
10006B3A MOV EDX,Dump_sin.100072C4 UNICODE "[Numpad 1]"
10006B4B MOV EDX,Dump_sin.100072E0 UNICODE "[Numpad 2]"
10006B5C MOV EDX,Dump_sin.100072FC UNICODE "[Numpad 3]"
10006B6D MOV EDX,Dump_sin.10007318 UNICODE "[Numpad 4]"
10006B7E MOV EDX,Dump_sin.10007334 UNICODE "[Numpad 5]"
10006B8F MOV EDX,Dump_sin.10007350 UNICODE "[Numpad 6]"
10006BA0 MOV EDX,Dump_sin.1000736C UNICODE "[Numpad 7]"
10006BB1 MOV EDX,Dump_sin.10007388 UNICODE "[Numpad 8]"
10006BC2 MOV EDX,Dump_sin.100073A4 UNICODE "[Numpad 9]"
10006BD3 MOV EDX,Dump_sin.100073C0 UNICODE "[Back Tab]"
10006BE4 MOV EDX,Dump_sin.100073DC UNICODE "[Copy]"
10006BF5 MOV EDX,Dump_sin.100073F0 UNICODE "[Finish]"
10006C06 MOV EDX,Dump_sin.10007408 UNICODE "[Reset]"
10006C17 MOV EDX,Dump_sin.1000741C UNICODE "[Play]"
10006C28 MOV EDX,Dump_sin.10007430 UNICODE "[Process]"
10006C39 MOV EDX,Dump_sin.10007448 UNICODE "
100084FF MOV EDX,Dump_sin.10008608 UNICODE "XtremeKeylogger"
10008549 MOV EDX,Dump_sin.1000862C UNICODE "qualquercoisarsrsr"
Persistencia en el sistema:
1000935B MOV EDX,Dump_sin.100095C8 UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"
10009395 MOV EDX,Dump_sin.100095C8 UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"
Inyección en svchost.exe
1000AF84 DD Dump_sin.1000AEBC UNICODE "svchost.exe"
1000AF8C DD Dump_sin.1000AE94 UNICODE "%DEFAULTBROWSER%"
1000AF90 PUSH EBP (Initial CPU selection)
1000B01B MOV EDX,Dump_sin.1000B52C UNICODE "restart"
1000B04F PUSH Dump_sin.1000B53C UNICODE "open"
1000B072 MOV EDX,Dump_sin.1000B54C UNICODE "update"
1000B0DB MOV EDX,Dump_sin.1000B560 UNICODE "CONFIG"
1000B123 MOV EDX,Dump_sin.1000B574 UNICODE "SOFTWARE\XtremeRAT"
1000B15F MOV ECX,Dump_sin.1000B5A0 UNICODE "Mutex"
1000B164 MOV EDX,Dump_sin.1000B574 UNICODE "SOFTWARE\XtremeRAT"
1000B1BB PUSH Dump_sin.1000B5B8 UNICODE ".cfg"
1000B254 MOV EDX,Dump_sin.1000B560 UNICODE "CONFIG"
1000B2FF MOV EDX,Dump_sin.1000B560 UNICODE "CONFIG"
Comunicación con el C&C
nextel02.no-ip.biz
sytes-net.sytes.net
Sample + dump : https://dl.dropboxusercontent.com/u/80008916/arba.xtreme.rar
Password = infected.
@Dkavalanche 2013
No hay comentarios:
Publicar un comentario