miércoles, 6 de junio de 2012

Troyano de Formulario III, Falso Comprobante de deposito.


En el día de hoy como en otra ocasión, volvieron a la carga con la ingeniería social, aplicada a un falso comprobante de deposito.


Correo enviado a las victimas.






El link nos lleva a un Url y luego nos redirige a otra Url donde nos descarga un archivo ejecutable con un icono de una carpeta.











El Análisis de VT nos arroja un indice bajo de detecciones.






El análisis en comodo nos reporta que intenta descargar un archivo .gif que en realidad se trata de un ejecutable. Por lo que se trata de un Dowloader.



Este downloader esta empaquetado con UPX y compilado con Delphi.






Archivo que intenta descargar:
www.rafaelrosa.com.br/rafaelrosa/fotos/1/1/100_g.jpg1/a.gif






Le cambiamos la extensión a .exe y lo subimos a VT.


El ejecutable no tiene Packer y esta compilado en Delphi 2010






Estos son algunos de los formularios desplegados por esta amenaza.










Pedido de Tarjeta de Coordenadas. 

Y pensar que hay gente que carga todos los datos....








Afecta a seis entidades Bancarias Argentinas






Manera en que serán enviados y presentados los datos al estafador.

















El troyano tiene las siguientes cadenas:


AD4F965A86F2110B3294C67FAE2B68F666A692F763D154BFDA3B3F3E2FCB679FFB1537E2162ECDAC56F82160F527DD00639332CB65CD6CEC2E15CF6A943B5A8F34E1
9A5A9B41FD0A0A72EF1A7DEF67AED355CE342867D2462F6AFF47F72CE11BD74B9842F129CB6583A29984A92DDC





Las cuales se encuentran codificadas y realmente indican las Urls donde serán enviados los datos robados.






Decodificadas:

http://static-98-141-57-164.dsl.cavtel.net/TrioWorks/mix/post.asp
http://184.105.229.146/_privat/contador2.asp









muestra en : http://www.mediafire.com/?ti4e159863r3eni


Password = infected






Eso es todo por el momento.




@DkAvalanche  2012



No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!