#Dr. Avalanche Labs

Falsa Intimación de audiencia, Troyano Proxy Changer-

Hoy les traigo un troyano de origen Brasileño que al infectar a la victima, este cambia la configuración de red del browser para re dirigirlos a sitios falsos de phishing para captura de credenciales: Hotmail, PayPal, caixaeconomica, citibank, caixa, pagseguro.uol, live, facebook, bancobradesco, etc

Correos falsos enviados a las victimas.

https://www.virustotal.com/es/file/69513dae2d9e228285124c91a567b50fcdfec6802d37c505c2f84f4adcfc15bf/analysis/1399642976/

SHA256:	69513dae2d9e228285124c91a567b50fcdfec6802d37c505c2f84f4adcfc15bf
Nombre:	Visualizar_Intimacao140514.exe
Detecciones:	23 / 52
Fecha de análisis:	2014-05-09 13:42:56 UTC ( hace 3 días )

Rutina antiDebugging

IsDebuggerPresent

Se observan cadenas codificadas.

058FD98 'GET'

0059210C '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz+/'

005924AC 'KtbpT6LjKczlT0'

005924D8 'N45ZT6bsPIvYONG'

00592504 'G6LZQ6yWRsPc'

0059252C 'ScLdBcLuPI11H4GW8aXBGrLSKszcT7TXScLSJMbZSczpRsPqN5TfRcHlTtDSGtLoScLkT5PbSdDfRsvSIMvqPN9kPNGWKsLqT6bkPtCY82zs845rT6z3RsvcQMTLScmWBsGW9J4WBsO'

00592650 'ScLdBcLuPI11H4GW8aXBJ4rSKszcT7TXScLSJMbZSczpRsPqN5DbOtLoQNHv84DbRdHbSY8WBtOWHcboPNTXR6n4QNDXOcnbJczqQMPv82zq8595Hrz4LqzIH20lP20mU30mC30mC30n82zc'

00592780 'ScLdBcLuPI11H4GW8aXBJ4rSKszcT7TXScLSJMbZSczpRsPqN5DbOtLoQNHv84DbRdHbSY8WBtOWLN1aONHbSqHfSs5YR6LERtHfPdaWBtGWKaL7NqHNJr9482za831uC30mC30mC34WBsO'

00592C08 '82zZ80'

00592C24 'KtbpT6LjKczlT0'

00592C50 'N45ZT6bsPJ8kOc5q80'

00592C84 'GL1GH45KGG'

00592CA8 'N4rlUcbiR65SHcboPMPlU5nGSczcQMnbSm'

00592CFC 'N45ZT6bsPJ8kOc5q'

00592D2C 'OsGWBqGW8YL1K514GLH19LnDRtffR6nXN4PfScLcRtXSK79lPcbiPNCY'

00592DAC 'OsGWAYvaPMPXTMnq'

00592DDC 'SsLq86PVOM8z9MDa9G'

00592E10 'PMDeRo1rSsLoNt1oPMOe8cvbT7TlScikS79lU7akONLqRsDlRcPfPrzrScmYB20Y9J4YAJi+FY8bPbzXOYLSS79bPdCkQdCY'

La rutina Decodificadora comienza en 00591FD0 /$ 55 PUSH EBP

Poniendo los BP en donde corresponde podemos obtener los strings decodificados en el Stack.

La rutina esta basado en encoded en base64 mas un salt.

http://www.delphipages.com/forum/archive/index.php/t-133728.html

const

Codes64 = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz+/';

function Encode64(S: string): string;

var

i: Integer;

a: Integer;

x: Integer;

b: Integer;

begin

Result := '';

a := 0;

b := 0;

for i := 1 to Length(s) do

begin

x := Ord(s[i]);

b := b * 256 + x;

a := a + 8;

while a >= 6 do

begin

a := a - 6;

x := b div (1 shl a);

b := b mod (1 shl a);

Result := Result + Codes64[x + 1];

end;

if a > 0 then

begin

x := b shl (6 - a);

Result := Result + Codes64[x + 1];

end;

function Decode64(S: string): string;

var

i: Integer;

a: Integer;

x: Integer;

b: Integer;

begin

Result := '';

a := 0;

b := 0;

for i := 1 to Length(s) do

begin

x := Pos(s[i], codes64) - 1;

if x >= 0 then

begin

b := b * 64 + x;

a := a + 6;

if a >= 8 then

begin

a := a - 8;

x := b shr a;

b := b mod (1 shl a);

x := x mod 256;

Result := Result + chr(x);

end;

end

else

Exit;

end;

Les dejo mas abajo el decoder en delphi para la descarga.

El troyano se conecta al siguiente servidor y este le responde con un string codificado que sera la configuración a cambiar en el proxy del navegador.

0012FDE8 |00BCB5BC UNICODE "http://www.agoracadastre.com.br/proxy/RRU8PAYVBF2U412715V3/"

0012FDEC |00BCB4FC UNICODE "?MD5=be84e40f0fb2cd36ce74bd9c0d1df90d"

String entregado por el servidor

"Q7HqS3elBp4vCYunEJWkE3akCJauBr9ILJXGGLbMGaOoLJGnCZSnDLOpBd1XOm"

Desencriptado queda:

|00BCB67C UNICODE "http://192.198.89.198/RRU8PAYVBF2U412715V3.pac"