miércoles, 26 de junio de 2013

Malware Brasileño: Nota Fiscal em PDF


Hoy les traigo esta muestra de este curioso malware de origen Brasileño que utiliza un método de adición/ sustracción de caracteres especiales para ocultar strings.



E-mail Phishing (Gracias Raúl  )




Link en DropBox
 hxxps://dl.dropbox.com/s/3vazu0cn3kgngzg/NotaFiscal.zip

Analisis en V.T.





Cadenas codificadas(?)



'x%8*6*v*s#6#4#d%k%.%c*d*x*'
'x%8%6*v*s@6@4@d@k#1#.%c%d%x%'
'C*:*\\#p#r#o%g%r%a*m*s*y@s@t@e@m#65\\@'
'p#r#o%c%e*s*s*x#x#x#'
'.*v@r@x@'
'p%r%o*c*e*s#s#x#x%x%2%'
'm@o@d@c#d#x#'
'.%c%p*l*'
'm@o@d#c#d#y%'
'i*e*w*'
'.#d%l%l*'
'w%i%n*k*a*v@'
'g*a*n*s@h@'
'.*v#b#s#'
'm@o@d#c#d#b%'
'.*e#x#e#'
'm%o*d*c#d#a#'
'c*f*t#m#o%n%'
'C*:*\\@B@a@n#c#o#B%r%a%s%i*l*'
'c%m%d* */#c# #r#m%d%i*r* */*s@ @/@q@ # #C#:%\\%B%a%n*c*o*B*r#a#s#i#l%'
'\"#n%u%R%\\*n*o*i#s#r#e%V%t%n*e*r*r@u@C@\\#s#w#o#d#n%i%W%\\*t*f*o*s*o#r#c#i#M%\\%E%R%A*W*T*F*O@S@\\@R#E#S#U#_#T%N%E%R*R*U*C*_*Y#E#K#H%\"% %d%d%a* *g*e@r@'
'J%a%v%a*U*p*d#a#t#e%I%s%r*'
'w%i*n*k*a#v#.#c%p%l% *i*n*i@'
'J#a#v%a%U*p*d*a#t#e#I#s%b%s%'
'g*a*n#s#h#.%v%b%s*'
'C*:*\\#p#r#o%g%r%a*m*s*y@s@t@e@m#65\\@s*y*s*8@.@l@o#g#'
'h#t#t%p%:*/*/*x*1@x@2@x#3#.#t%k%/%m%o*d*/*'
'/%i%m*a*g*e#s#/#dir2/#?#c#h%a%v%e*=*x*c@h@a@v#e#&#u#r%l%=%'
'<%/%b%>%<*/*f*o#n#t#>%<%f%o%n*t*'
'c#o#l%o%r%=*o*r*a#n#g#e%>%<%b*>*'
'<@/@b#>#<#/%f%o%n*t*>*'
'c%m%d% */*c* @s@h@u#t#d#o%w%n% *-*f* *-#r# #-#t% %6%0%0* *-*m*'


Quitando los caracteres especiales #&*%

Queda.........

x86vs64dk.cdx
x86vs64dk1.cdx
C:\\programsystem65\\
processxxx
.vrx
processxxx2
modcdx
.cpl
modcdy
iew
.dll
winkav
gansh
.vbs
modcdb
.exe
modcda
cftmon
C:\\BancoBrasil
cmd /c rmdir /s /q  C:\\BancoBrasil
\"nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\ERAWTFOS\\RESU_TNERRUC_YEKH\" dda ger
JavaUpdateIsr
winkav.cpl ini
JavaUpdateIsbs
gansh.vbs
C:\\programsystem65\\sys8.log
http://x1x2x3.tk/mod/
/images/dir2/?chave=xchave&url=

color=orange>
cmd /c shutdown -f -r -t 600 -m
loptuwBCG_70KORVacgjnp59rvACH15



http://x1x2x3.tk/mod//images/dir2/?chave=xchave&url=



Distintos archivos son bajados por el malware.
Dos de ellos son herramientas para recuperación de contraseñas de Nirsoft (Mail Pass View y Web Browser Pass View), y dos ejecutables .cpl.
xmd.cpl encargado de comandar los productos de Nirsoft. 
winkav.cpl que se encarga de matar los antivirus.









Mail PassView
Recovers the passwords of the following email programs: Windows Live Mail, Windows Mail, Outlook Express, Microsoft Outlook 2000 (POP3 and SMTP Accounts only), Microsoft Outlook 2002/2003 (POP3, IMAP, HTTP and SMTP Accounts), IncrediMail, Eudora, Netscape Mail, Mozilla Thunderbird, 
Mail PassView can also recover the passwords of Web-based email accounts (HotMail, Yahoo!, Gmail), if you use the associated programs of these accounts.


WebBrowserPassView is a password recovery tool that reveals the passwords stored by the following Web browsers: Internet Explorer (Version 4.0 - 8.0), Mozilla Firefox (All Versions), Google Chrome, and Opera. This tool can be used to recover your lost/forgotten password of any Website, including popular Web sites, like Facebook, Yahoo, Google, and GMail, as long as the password is stored by your Web Browser. After retrieving your lost passwords, you can save them into text/html/csv/xml file, by using the 'Save Selected Items' option (Ctrl+S).

Estos dos programas son utilizados como command-line (en forma silenciosa) para hacerse de las claves, luego son enviadas a un servidor en la nube (lord.luzcifez.mydad.info/vrx2//sm/atuando2.php)




WINKAV (anti-antiVirus)

Algunos strings decodificados:

MOV EAX,winkav.009144FC                   ASCII "C:\Arquivos de programas\Symantec\"
MOV EAX,winkav.0091454C                   ASCII "C:\Arquivos de programas\Symantec AntiVirus\"
MOV EAX,winkav.009145B0                   ASCII "C:\Arquivos de programas\VBA32\"
MOV EAX,winkav.009145F8                   ASCII "C:\Arquivos de programas\DrWeb\"
MOV EAX,winkav.00914640                   ASCII "C:\Arquivos de programas\Trend Micro\"
MOV EAX,winkav.00914694                   ASCII "C:\Arquivos de programas\a-squared Free\"
MOV EAX,winkav.009146F0                   ASCII "C:\Arquivos de programas\a-squared Anti-Malware\"
MOV EAX,winkav.0091475C                   ASCII "C:\Arquivos de programas\AVAST Software\"
MOV EAX,winkav.009147B8                   ASCII "C:\Arquivos de programas\GbPlugin\"
MOV EAX,winkav.00914808                   ASCII "C:\Arquivos de programas\AVG\"
MOV EAX,winkav.0091484C                   ASCII "C:\Arquivos de programas\Alwil Software\Avast4\"
MOV EAX,winkav.009148B4                   ASCII "C:\Arquivos de programas\Alwil Software\Avast5\"
MOV EAX,winkav.0091491C                   ASCII "C:\Arquivos de programas\Alwil Software\Avast6\"
MOV EAX,winkav.00914984                   ASCII "C:\Arquivos de programas\AVAST Software\Avast\"
MOV EAX,winkav.009149EC                   ASCII "C:\Arquivos de programas\AVG\AVG2012\"
MOV EAX,winkav.00914A40                   ASCII "C:\Arquivos de programas\AVG\AVG8\"
MOV EAX,winkav.00914A90                   ASCII "C:\Arquivos de programas\AVG\AVG10"
MOV EAX,winkav.00914AE0                   ASCII "C:\Arquivos de programas\AVG\AVG9\"
MOV EAX,winkav.00914B30                   ASCII "C:\Arquivos de programas\AVG Secure Search\"
MOV EAX,winkav.00914B90                   ASCII "C:\Arquivos de programas\Avira\AntiVir Desktop"
MOV EAX,winkav.00914BF8                   ASCII "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Cl
MOV ECX,winkav.00914C80                   ASCII "Symantec\"
MOV ECX,winkav.00914C9C                   ASCII "Symantec AntiVirus\"
MOV ECX,winkav.00914CCC                   ASCII "VBA32\"
MOV ECX,winkav.00914CE4                   ASCII "DrWeb\"
MOV ECX,winkav.00914CFC                   ASCII "Trend Micro\"
MOV ECX,winkav.00914D20                   ASCII "a-squared Free\"
MOV ECX,winkav.00914D48                   ASCII "a-squared Anti-Malware\"
MOV ECX,winkav.00914D80                   ASCII "AVAST Software\"
MOV ECX,winkav.00914DA8                   ASCII "GbPlugin\"
MOV ECX,winkav.00914DC4                   ASCII "AVG\"
MOV ECX,winkav.00914DD8                   ASCII "Alwil Software\Avast4\"
MOV ECX,winkav.00914E10                   ASCII "Alwil Software\Avast5\"
MOV ECX,winkav.00914E48                   ASCII "Alwil Software\Avast6\"
MOV ECX,winkav.00914E80                   ASCII "AVAST Software\Avast\"
MOV ECX,winkav.00914EB4                   ASCII "AVG\AVG2012\"
MOV ECX,winkav.00914ED8                   ASCII "AVG\AVG8\"
MOV ECX,winkav.00914EF4                   ASCII "AVG\AVG10"
MOV ECX,winkav.00914F10                   ASCII "AVG\AVG9\"
MOV ECX,winkav.00914F2C                   ASCII "AVG Secure Search\"
MOV ECX,winkav.00914F5C                   ASCII "Avira\AntiVir Desktop"
MOV ECX,winkav.00914F90                   ASCII "Avira\AntiVir PersonalEdition Classic\"
MOV EAX,winkav.00914FE8                   ASCII "C:\Program Files\Symantec\"
MOV EAX,winkav.00915028                   ASCII "C:\Program Files\Symantec AntiVirus\"
MOV EAX,winkav.0091507C                   ASCII "C:\Program Files\VBA32\"
MOV EAX,winkav.009150B4                   ASCII "C:\Program Files\DrWeb\"
MOV EAX,winkav.009150EC                   ASCII "C:\Program Files\Trend Micro\"
MOV EAX,winkav.00915130                   ASCII "C:\Program Files\a-squared Free\"
MOV EAX,winkav.0091517C                   ASCII "C:\Program Files\a-squared Anti-Malware\"
MOV EAX,winkav.009151D8                   ASCII "C:\Program Files\AVAST Software\"
MOV EAX,winkav.00915224                   ASCII "C:\Program Files\GbPlugin\"
MOV EAX,winkav.00915264                   ASCII "C:\Program Files\AVG\"
MOV EAX,winkav.00915298                   ASCII "C:\Program Files\Alwil Software\Avast4\"
MOV EAX,winkav.009152F0                   ASCII "C:\Program Files\Alwil Software\Avast5\"
MOV EAX,winkav.00915348                   ASCII "C:\Program Files\Alwil Software\Avast6\"
MOV EAX,winkav.009153A0                   ASCII "C:\Program Files\AVAST Software\Avast\"
MOV EAX,winkav.009153F8                   ASCII "C:\Program Files\AVG\AVG2012\"
MOV EAX,winkav.0091543C                   ASCII "C:\Program Files\AVG\AVG8\"
MOV EAX,winkav.0091547C                   ASCII "C:\Program Files\AVG\AVG10"
MOV EAX,winkav.009154BC                   ASCII "C:\Program Files\AVG\AVG9\"
MOV EAX,winkav.009154FC                   ASCII "C:\Program Files\AVG Secure Search\"
MOV EAX,winkav.0091554C                   ASCII "C:\Program Files\Avira\AntiVir Desktop"

MOV EAX,winkav.009155A4                   ASCII "C:\Program Files\Avira\AntiVir PersonalEdition Classic\"


"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend" 



El downloader/troyano utilizan otro método para decodificar strings muy distinta y mas robusta a la substitución de caracteres, llamativamente no se utiliza para todos los strings.








RUTINA:

0046DE50  /$ 55             PUSH EBP
0046DE51  |. 8BEC           MOV EBP,ESP
0046DE53  |. 33C9           XOR ECX,ECX
0046DE55  |. 51             PUSH ECX
0046DE56  |. 51             PUSH ECX
0046DE57  |. 51             PUSH ECX
0046DE58  |. 51             PUSH ECX
0046DE59  |. 51             PUSH ECX
0046DE5A  |. 51             PUSH ECX
0046DE5B  |. 51             PUSH ECX
0046DE5C  |. 51             PUSH ECX
0046DE5D  |. 53             PUSH EBX
0046DE5E  |. 8BDA           MOV EBX,EDX
0046DE60  |. 8945 FC        MOV DWORD PTR SS:[EBP-4],EAX
0046DE63  |. 8B45 FC        MOV EAX,DWORD PTR SS:[EBP-4]
0046DE66  |. E8 196BF9FF    CALL xmd.00404984
0046DE6B  |. 33C0           XOR EAX,EAX
0046DE6D  |. 55             PUSH EBP
0046DE6E  |. 68 EBDE4600    PUSH xmd.0046DEEB
0046DE73  |. 64:FF30        PUSH DWORD PTR FS:[EAX]
0046DE76  |. 64:8920        MOV DWORD PTR FS:[EAX],ESP
0046DE79  |. 8D55 E0        LEA EDX,DWORD PTR SS:[EBP-20]
0046DE7C  |. 8B45 FC        MOV EAX,DWORD PTR SS:[EBP-4]
0046DE7F  |. E8 60FEFFFF    CALL xmd.0046DCE4
0046DE84  |. 8B45 E0        MOV EAX,DWORD PTR SS:[EBP-20]
0046DE87  |. 8D55 E4        LEA EDX,DWORD PTR SS:[EBP-1C]
0046DE8A  |. E8 8DF0FFFF    CALL xmd.0046CF1C
0046DE8F  |. 8B45 E4        MOV EAX,DWORD PTR SS:[EBP-1C]
0046DE92  |. 8D55 E8        LEA EDX,DWORD PTR SS:[EBP-18]
0046DE95  |. E8 4AFEFFFF    CALL xmd.0046DCE4
0046DE9A  |. 8B45 E8        MOV EAX,DWORD PTR SS:[EBP-18]
0046DE9D  |. 8D55 EC        LEA EDX,DWORD PTR SS:[EBP-14]
0046DEA0  |. E8 DFEFFFFF    CALL xmd.0046CE84
0046DEA5  |. 8B45 EC        MOV EAX,DWORD PTR SS:[EBP-14]
0046DEA8  |. 8D55 F0        LEA EDX,DWORD PTR SS:[EBP-10]
0046DEAB  |. E8 34FEFFFF    CALL xmd.0046DCE4
0046DEB0  |. 8B45 F0        MOV EAX,DWORD PTR SS:[EBP-10]
0046DEB3  |. 8D55 F4        LEA EDX,DWORD PTR SS:[EBP-C]
0046DEB6  |. E8 61F0FFFF    CALL xmd.0046CF1C
0046DEBB  |. 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-C]
0046DEBE  |. 8D55 F8        LEA EDX,DWORD PTR SS:[EBP-8]
0046DEC1  |. E8 1EFEFFFF    CALL xmd.0046DCE4
0046DEC6  |. 8B45 F8        MOV EAX,DWORD PTR SS:[EBP-8]
0046DEC9  |. 8BD3           MOV EDX,EBX
0046DECB  |. E8 B4EFFFFF    CALL xmd.0046CE84
0046DED0  |. 33C0           XOR EAX,EAX
0046DED2  |. 5A             POP EDX
0046DED3  |. 59             POP ECX
0046DED4  |. 59             POP ECX
0046DED5  |. 64:8910        MOV DWORD PTR FS:[EAX],EDX
0046DED8  |. 68 F2DE4600    PUSH xmd.0046DEF2
0046DEDD  |> 8D45 E0        LEA EAX,DWORD PTR SS:[EBP-20]
0046DEE0  |. BA 08000000    MOV EDX,8
0046DEE5  |. E8 0E66F9FF    CALL xmd.004044F8
0046DEEA  \. C3             RETN


Aquí las muestras sobre este caso: 

https://www.dropbox.com/s/l96154vpwzmllyo/TrojanBambra.gen.14-06-13.rar

Passw = infected 

sea cuidadoso :D

Es todo por el momento....





@Dkavalanche 2013





sábado, 1 de junio de 2013

Malware Brasileño: Aviso de cobrança


Hoy inauguro el post 69 con esta malware bancario de origen brasileño, el cual utiliza distintas técnicas para ofuscar los datos.

Debo agradecer a Raul y Cristian de Segu-info por pasarme los links de este malware y permitirme publicar la imagen del mail phishing.




Correo phishing enviado a las victimas.





El link esta apuntando a un ejecutable .cpl alojado en dropbox.

https://www.virustotal.com/es-ar/url/fe4597a94de7c5f47ca391718880fe74993609fb2bafd067476d3a0e0bda7d0b/analysis/1369831189/





Se trata de un archivo con extensión .CPl, que correspone a un archivo de Control Panel de Windows

Lo cargamos en OllyDbg.


Aquí estamos sobre la rutina del crypter del downloader.



Aquí  estamos al final de la rutina y vemos en el stack las cadenas sin ofuscado.




Archivos descargados:

hxxp://sportsbrazil.com.br/conexaoformata/kitchenx.swf
hxxp://sportsbrazil.com.br/conexaoformata/spoonx.swf
hxxp://sportsbrazil.com.br/conexaoformata/argolax.swf
hxxp://sportsbrazil.com.br/conexaoformata/cookerx.swf
hxxp://sportsbrazil.com.br/conexaoformata/glassx.swf


Son pasados por rutina XOR para decodificarlos sobre la memoria.

Resultando ser el malware bancario.






Rutina XOR

008B28A0      8BC8           MOV ECX,EAX
008B28A2    . 0FB775 F2      MOVZX ESI,WORD PTR SS:[EBP-E]
008B28A6    . D3EE           SHR ESI,CL
008B28A8    . 8BCE           MOV ECX,ESI
008B28AA    . F7D1           NOT ECX
008B28AC    . 0FB63403       MOVZX ESI,BYTE PTR DS:[EBX+EAX]
008B28B0    . 33CE           XOR ECX,ESI   
008B28B2    . 880C03         MOV BYTE PTR DS:[EBX+EAX],CL
008B28B5    . 40             INC EAX
008B28B6    . 4A             DEC EDX
008B28B7    .^75 E7          JNZ SHORT titulo.008B28A0

ECX = KEY
ESI = DATA



Análisis del malware Bancario descargado.






Clásico Crypter RunPe



Proceso creado en modo suspendido.



WriteProcessMemory....





Algunas cadenas interesantes en el malware que se encuentran codificadas:


100D419B   MOV EDX,DUMP_SIN.100D4824                 ASCII "0000"
100D41C2   MOV EDX,DUMP_SIN.100D4834                 ASCII "73FF6CAA37B710B91DB62ABB186CEE68EE64"
100D41E1   MOV EDX,DUMP_SIN.100D4870                 ASCII "DF0C58B62346A3D4175B81E419"
100D4203   MOV EDX,DUMP_SIN.100D4894                 ASCII "1469EB6EED50409F3E6E81C3194A8EC33A9330A5EF20"
100D4225   MOV EDX,DUMP_SIN.100D48CC                 ASCII "A1D80EB233AB15B8124596334789C2095E96C7065AF66CBC1FB419BE015F4F"
100D4247   MOV EDX,DUMP_SIN.100D4914                 ASCII "D617B913B1166FE3075C8F3493364F8DC303134886DA"
100D4269   MOV EDX,DUMP_SIN.100D494C                 ASCII "6BAB"
100D428B   MOV EDX,DUMP_SIN.100D495C                 ASCII "CF39"
100D42AD   MOV EDX,DUMP_SIN.100D496C                 ASCII "5A9D27AA2FA42256F852F86E"
100D42CF   MOV EDX,DUMP_SIN.100D4990                 ASCII "5F8B"
100D42F1   MOV EDX,DUMP_SIN.100D49A0                 ASCII "DA3B5BBBDB3C5CBCDC"
100D4313   MOV EDX,DUMP_SIN.100D49BC                 ASCII "B626"
100D4335   MOV EDX,DUMP_SIN.100D49CC                 ASCII "42A1254A88C3024188C6"
100D4357   MOV EDX,DUMP_SIN.100D49EC                 ASCII "2EB52FAD22A129ACFC7BFF"
100D4379   MOV EDX,DUMP_SIN.100D4A0C                 ASCII "1259F25185C40C4F5FA1E12262"
100D439B   MOV EDX,DUMP_SIN.100D4A30                 ASCII "274E87C51AB90144549CDC"
100D43BD   MOV EDX,DUMP_SIN.100D4A50                 ASCII "1359F256FA6C"
100D43DF   MOV EDX,DUMP_SIN.100D4A68                 ASCII "C72FA827BB1BA226769D"
100D4401   MOV EDX,DUMP_SIN.100D4A88                 ASCII "9BC21CBA2FAE16B9E91378"
100D4423   MOV EDX,DUMP_SIN.100D4AA8                 ASCII "AFC0"
100D4445   MOV EDX,DUMP_SIN.100D4AB8                 ASCII "3BA23C9ACE0EB51909729ADD13"
100D4467   MOV EDX,DUMP_SIN.100D4ADC                 ASCII "4F9630AE23A22AADFD070F"
100D4489   MOV EDX,DUMP_SIN.100D4AFC                 ASCII "234A83C116B51DA0F00E63"
100D44AB   MOV EDX,DUMP_SIN.100D4B1C                 ASCII "204583DE7DDC64E2"
100D44CD   MOV EDX,DUMP_SIN.100D4B38                 ASCII "FC1A7794F12F"
100D44EF   MOV EDX,DUMP_SIN.100D4B50                 ASCII "A721A13A9637A829A2E075D10E"
100D4511   MOV EDX,DUMP_SIN.100D4B74                 ASCII "B4CB0145B62BBC1DA137993DB6154B8A"
100D4533   MOV EDX,DUMP_SIN.100D4BA0                 ASCII "E01E6F82E5"
100D4555   MOV EDX,DUMP_SIN.100D4BB4                 ASCII "9484F122"
100D4577   MOV EDX,DUMP_SIN.100D4BC8                 ASCII "28488AC9014394324881DD73D6"
100D4599   MOV EDX,DUMP_SIN.100D4BEC                 ASCII "649D3C80D578D60CB0E016BE1FBB1BBD13B522"
100D45BB   MOV EDX,DUMP_SIN.100D4C1C                 ASCII "E928"
100D45DD   MOV EDX,DUMP_SIN.100D4C2C                 ASCII "4D86DB64E461E063F8174CF46A"
100D4602   MOV EDX,DUMP_SIN.100D4C50                 ASCII "71A12A7A"


Estas cadenas son desofuscadas por el siguiente método que fue publicado en otro de mis post. ver


Resultando:


\\.\PhysicalDrive
\\.\SMARTVSD
Error on CreateFile: 
GetPhysicalDriveHandle return 
PrintIdSectorInfo end
SystemDrive
OsUnknown
Windows NT
Windows 2000
Windows XP
Vista
Windows 7
Windows 95
A
Windows 98SE
Windows 98
Windows ME
Unknown
iphlpapi.dll
GetAdaptersInfo
MACS
 = 
ProgramFiles
Internet Explorer\
.
iexplore.exe
 x 
============================ INFORMAÇÕES DA MAQUINA ============================
ID = 
SO = 
NOME PC = 
NOME USUARIO = 
VERSÃO IE = 
HD = 
Resolução = 
DATA/HORA = 
dd/mm/yyyy  hh:nn:ss.zzz
============================ INFORMAÇÕES DA CONTA ==============================
lização Cadastral" type="submit" name="botaoConfirma.x"
https://internetbanking.caixa.gov.br/SIIBC/index.processa
aapj.bb.com.br/aapj
http://www.bb.com.br
aapf/login.jsp?aapf
bancobrasil.com.br/aapf/
http://www.bb.com.br
siwinCtrl
.caixa.gov.br/SIIBC
SIIBC/index.processa
office.bancobrasil.com.br
https://aapj.bb.com.br/aapj/login
https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=
https://aapj.bb.com.br/aapj/loginpfe.bb


El malware monitorea la url que la victima visita, si corresponde con alguna que tiene cargada, el malware arma en el disco local un mini sitio de phishing y así los datos son reenviados a un php en la nube que corresponde al defraudador.


C:\BancoBrasil\officeNE\index.html
C:\BancoBrasil\officePLUGIN\index.html



URLs monitoreadas:


https://internetbankingpf.caixa.gov.br/SIIBC/index.processa
https://www2.bancobrasil.com.br/aapf/includesSRP/processaVersionamentoAAPF.jsp?continuarVersaoAtual=sim
https://www.citibank.com.br/BRGCB/JSO/signon/uname/HomePage.do
https://internetbanking.caixa.gov.br/SIIBC/index.processa
https://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH
http://www.bb.com.br
https://aapj.bb.com.br/aapj/login
http://www.santander.com.br




Sito donde son enviados los datos robados:


http://carlosrobetocamp-com.web16.redehost.com.br/bota38/acesso.php
http://carlosrobetocamp-com.web16.redehost.com.br/quente/px.php
http://carlosrobetocamp-com.web16.redehost.com.br/morno/px.php
http://carlosrobetocamp-com.web16.redehost.com.br/kombi/px.php
http://carlosrobetocamp-com.web16.redehost.com.br/frio/px.php
http://carlosrobetocamp-com.web16.redehost.com.br/cama/px.php



Dump del malware en memoria, pueden usar volatility para ver todos los strings sin el ofuscado.





Aquí la muestra con dumps e info sobre este caso: 

https://dl.dropboxusercontent.com/u/80008916/BankerBrazil-28-05-2013.rar

Passw = infected 

sea cuidadoso :D










Es todo por el momento....



@Dkavalanche 2013




Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...