miércoles, 4 de septiembre de 2013

Falsos Correos de UPS II, ahora en forma de Zeus!.

Se volvió con la falsa campaña de UPS que comentamos en otro post,  esta vez lanzaron un Zeus que afecta a entidades de Italia y sitios de redes sociales.



Icono de la Amenaza.




Analisis en VT, con un bajo indice de detecciones.


Analisis del dump en VT sin el crypter y siendo detectado por varios A.V.



Luego del posteo en Tw y copiado @MalwareMustDie, @gN3med1s descubre las urls que se encuentran afectadas por este Zeus





Puede verlo aqui




Una opción fácil para el obtener las Urls que son monitoreadas por Zeus, es infectar una PC y realizar un dump de la memoria con el utilitario de moonsols + strings de sysinternals


win32dd.exe /f zbot.dmp  (obtenemos el dump de la memoria)




De mas esta decir que podemos utilizar este dump y pasarlo por volatility.



Obteniendo los strings.

>strings zboot.dmp | grep -i https:// > salida.txt

(deje solo las que nos interesan)

@https://bancopostaimpresaonline.poste.it/bpiol/lastFortyMovementsBalance.do?method=loadLastFortyMovementList
@https://www3.csebo.it/*
@https://qweb.quercia.com/*
@https://www.sparkasse.it/*
@https://dbonline.deutsche-bank.it/*
@https://*.cedacri.it/*
@https://www.bancagenerali.it/*
@https://www.csebo.it/*
@https://*.deutsche-bank.it/*
@https://hbclassic.bpergroup.net/*/login
@https://nowbankingpiccoleimprese*
@https://www.inbiz.intesasanpaolo.com/*
@https://icb.paschiinazienda.mps.it/RBWeb/RBLite/ContiCorrenti/*
@https://icb.paschiinazienda.mps.it/RBWeb/RBLite/informativeRBLite/*
@https://icb.corporate.biverbanca.it/RBWeb/RBLite/informativeRBLite/*
@https://icb.corporate.biverbanca.it/RBWeb/RBLite/ContiCorrenti/*
@https://*.unicreditcorporate.it/*
@https://*.sparkasse.it/*
@https://paschiinazienda.mps.it/Paschihome/HomeBanking/webnet2.0/RTSitRapp/ASPX/*
@https://hb.mps.it/PaschiHome/HomeBanking/webnet2.0/RTSitRapp/ASPX/*
@https://*.unicredit.it/*
@https://*.csebo.it/*
@https://areariservata.bancamarche.it/*
@https://rob.raiffeisen.it/*
@https://www.credem.it/*
@https://secure1.businesswaybnl.it/*
!https://*.ru/*
!https://server.iad.liveperson.net/*
!https://chatserver.comm100.com/*
!https://fx.sbisec.co.jp/*
!https://match2.me.dium.com/*
!https://clients4.google.com/*
!https://*.mcafee.com/*
!https://www.direktprint.de/*
!https://it.mcafee.com*
!https://telematici.agenziaentrate.gov.it*
!https://www.autobus.it*
!https://www.vodafone.it/*
!https://*.lphbs.com/*
@https://*.onlineaccess*AccountOverview.aspx
@https://www.mercantilcbonline.com/secure/banking/protected/gridcard/*



Gracias a @MalwareMustDie, @gN3med1s y @rfb_



Muestra:  https://www.dropbox.com/s/33xl4ka6rbf2r9p/Zbot-3-09-13.zip?m

Password = infected






Es todo por el momento....



@Dkavalanche 2013


lunes, 2 de septiembre de 2013

Cuando el Anti-Virus no detecta NADA...


Hoy un compañero se dio cuenta que su PC estaba infectada, porque al insertar su Pendrive en otra PC con otra solución Anti-Virus, esta le detecto una amenaza en el dispositivo USB. Inmediatamente enviamos la muestra a Virus-Total y observamos que es detectada por la gran mayoría de los Anti-Virus.







Realizando un Scan... (fail...)



Verificando que la solución A.V: se encuentra actualizada.


Este malware se trata de un IrcBot con un clásico Crypter, que chequea si esta siendo debugeado.

IsDebuggerPresent


(BP en ZwWriteVirtualMemory y obtenemos fácilmente el dump)


En el análisis dinámico vemos como se aculta en el directorio de Windows



 AutoRun


Strings interesantes:


00402441   PUSH usb2_dum.0040B07C                    ASCII "[Update]:"
00402446   PUSH usb2_dum.0040B1D0                    ASCII "%s mis param."
0040245B   PUSH usb2_dum.0040B54C                    ASCII "CoupeSoldier"
00402480   PUSH usb2_dum.0040B50C                    ASCII "transfer thread"
00402485   PUSH usb2_dum.0040B07C                    ASCII "[Update]:"
004024E1   PUSH usb2_dum.0040B300                    ASCII "%seraseme_%d%d%d%d%d.exe"
00402525   MOV EDI,usb2_dum.0040B07C                 ASCII "[Update]:"
00402543   PUSH usb2_dum.0040B2D8                    ASCII "%s Downloading update from: %s to: %s."
004025AF   PUSH usb2_dum.0040B2D8                    ASCII "%s Downloading update from: %s to: %s."
004025C6   PUSH usb2_dum.0040B50C                    ASCII "transfer thread"
004025CC   PUSH usb2_dum.0040B130                    ASCII "%s Fail start %s, err: <%d>"
004025D5   PUSH usb2_dum.004092DC                    ASCII "supersyn"
004025F1   PUSH usb2_dum.0040B2CC                    ASCII "ddos thread"
004025F6   PUSH usb2_dum.0040B0A8                    ASCII "[DDOS SYN]:"
004025FB   PUSH usb2_dum.0040B114                    ASCII "%s %s already running: <%d>"


0040413D   PUSH usb2_dum.0040BAE8                    ASCII "Software\Microsoft\Windows\CurrentVersion\Run\"
00404177   PUSH usb2_dum.0040B7E8                    ASCII "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\"

004038FE   PUSH usb2_dum.0040B940                    ASCII "Error"
00403946   PUSH usb2_dum.0040B948                    ASCII "%s-"
004039D9   MOV EAX,usb2_dum.0040B978                 ASCII "95-"
004039EC   MOV EAX,usb2_dum.0040B974                 ASCII "NT-"
004039FC   MOV EAX,usb2_dum.0040B970                 ASCII "98-"
00403A0C   MOV EAX,usb2_dum.0040B96C                 ASCII "ME-"
00403A24   MOV EAX,usb2_dum.0040B968                 ASCII "2K-"
00403A34   MOV EAX,usb2_dum.0040B964                 ASCII "XP-"
00403A44   MOV EAX,usb2_dum.0040B95C                 ASCII "2K3-"
00403A5A   MOV EAX,usb2_dum.0040B954                 ASCII "VIS-"
00403A61   MOV EAX,usb2_dum.0040B94C                 ASCII "UNK-"

00402B46   PUSH usb2_dum.0040B04C                    ASCII "[Sh0cKS Soldiers]:"
00402B4B   PUSH usb2_dum.0040B1C0                    ASCII "%s Main thread."
00402D60   PUSH usb2_dum.0040B8AC                    ASCII "Ping Timeout? (%d-%d)%d/%d"

00401065   PUSH usb2_dum.0040B020                    ASCII "%d %d"
0040125C   PUSH usb2_dum.0040B028                    ASCII "Wireshark"
004012C2   PUSH usb2_dum.0040B034                    ASCII "tcpview"
00401328   PUSH usb2_dum.0040B03C                    ASCII "filemon"
0040138E   PUSH usb2_dum.0040B044                    ASCII "procmon"
004018A2   PUSH usb2_dum.0040B224                    ASCII "open"
004019CB   PUSH usb2_dum.0040B248                    ASCII "Failed"
004019D0   PUSH usb2_dum.0040B22C                    ASCII "%s Failed to parse command."
00401A12   PUSH usb2_dum.00409230                    ASCII "giris"
00401A23   PUSH usb2_dum.0040925C                    ASCII "remove"
00401A39   PUSH usb2_dum.00409240                    ASCII "dw.indir"
00401A44   PUSH usb2_dum.0040B530                    ASCII "Download"
00401A4D   PUSH usb2_dum.0040931C                    ASCII "pstore"
00401A58   PUSH usb2_dum.0040B528                    ASCII "PStore"
00401A73   PUSH usb2_dum.00409254                    ASCII "update"
00401A80   PUSH usb2_dum.00409254                    ASCII "update"
00401A8B   PUSH usb2_dum.0040B520                    ASCII "Update"
00401AB5   PUSH usb2_dum.00409230                    ASCII "giris"
00401ACB   PUSH usb2_dum.0040B04C                    ASCII "[Sh0cKS Soldiers]:"
00401AD0   PUSH usb2_dum.0040B160                    ASCII "%s logged in."
00401AE8   PUSH usb2_dum.00409238                    ASCII "gir"
00401B03   PUSH usb2_dum.0040B074                    ASCII "[Irc]:"
00401B2A   PUSH usb2_dum.0040923C                    ASCII "cik"
00401B4A   PUSH usb2_dum.0040925C                    ASCII "remove"
00401B7A   PUSH usb2_dum.0040B170                    ASCII "[Remove]: Removed by: %s!%s@%s."
00401BAC   PUSH usb2_dum.00409240                    ASCII "dw.indir"
00401BE3   PUSH usb2_dum.0040B50C                    ASCII "transfer thread"
00401BE8   PUSH usb2_dum.0040B088                    ASCII "[Dl]:"
00401BED   PUSH usb2_dum.0040B114                    ASCII "%s %s already running: <%d>"
00401C48   PUSH usb2_dum.0040B088                    ASCII "[Dl]:"
00401C4D   PUSH usb2_dum.0040B4EC                    ASCII "%s Downloading URL: %s to: %s."
00401CC1   PUSH usb2_dum.0040B088                    ASCII "[Dl]:"
00401CC6   PUSH usb2_dum.0040B4EC                    ASCII "%s Downloading URL: %s to: %s."
00401CE0   PUSH usb2_dum.0040B50C                    ASCII "transfer thread"
00401CE5   PUSH usb2_dum.0040B088                    ASCII "[Dl]:"
00401CF8   PUSH usb2_dum.0040B088                    ASCII "[Dl]:"
00401CFD   PUSH usb2_dum.0040B1D0                    ASCII "%s mis param."
00401D09   PUSH usb2_dum.0040924C                    ASCII "dw.dur"
00401D1F   PUSH usb2_dum.0040B088                    ASCII "[Dl]:"
00401D2B   PUSH usb2_dum.00409314                    ASCII "socks4"
00401D50   PUSH usb2_dum.0040B4DC                    ASCII "Socks4 Server"
00401D55   PUSH usb2_dum.0040B09C                    ASCII "[Sock4]:"
00401D5A   PUSH usb2_dum.0040B114                    ASCII "%s %s already running: <%d>"
00401DB2   MOV ESI,usb2_dum.0040B09C                 ASCII "[Sock4]:"
00401DBD   PUSH usb2_dum.0040B4C0                    ASCII "%s Server running on: %s:%i"
00401E1F   PUSH usb2_dum.0040B4C0                    ASCII "%s Server running on: %s:%i"
00401E36   PUSH usb2_dum.0040B4B0                    ASCII "Socks4 thread"
00401E3C   PUSH usb2_dum.0040B130                    ASCII "%s Fail start %s, err: <%d>"
00401E49   PUSH usb2_dum.004092CC                    ASCII "rarinject"
00401E61   PUSH usb2_dum.0040B494                    ASCII "WinRAR Injection Activated"
00401E86   PUSH usb2_dum.0040926C                    ASCII "msn.msgemail"
00401ED8   PUSH usb2_dum.0040B488                    ASCII "MSN Threads"
00401F2B   PUSH usb2_dum.0040B0B4                    ASCII "[IM]:"
00401F30   PUSH usb2_dum.0040B454                    ASCII "%s Thread Activated: Sending Message With Email."
00401F3C   PUSH usb2_dum.00409264                    ASCII "msn.msg"
00401F8E   PUSH usb2_dum.0040B488                    ASCII "MSN Threads"
00401FE1   PUSH usb2_dum.0040B0B4                    ASCII "[IM]:"
00401FE6   PUSH usb2_dum.0040B42C                    ASCII "%s Thread Activated: Sending Message."
00401FFB   PUSH usb2_dum.0040927C                    ASCII "msn.stop"
00402011   PUSH usb2_dum.0040B0B4                    ASCII "[IM]:"
0040201D   PUSH usb2_dum.00409288                    ASCII "msn.sendzip"
00402069   PUSH usb2_dum.0040B488                    ASCII "MSN Threads"
004020BC   PUSH usb2_dum.0040B0B4                    ASCII "[IM]:"
004020C1   PUSH usb2_dum.0040B3FC                    ASCII "%s Thread Activated: Sending Message & Zipfile."
004020D1   PUSH usb2_dum.00409294                    ASCII "msn.stopzip"
004020E5   PUSH usb2_dum.0040B0B4                    ASCII "[IM]:"
004020ED   PUSH usb2_dum.0040B3E8                    ASCII "%s Thread Disabled."
00402107   PUSH usb2_dum.004092B8                    ASCII "aim.msg"
00402140   PUSH usb2_dum.0040B3DC                    ASCII "AIM Threads"
0040218F   PUSH usb2_dum.0040B0BC                    ASCII "[Aim]:"
00402194   PUSH usb2_dum.0040B42C                    ASCII "%s Thread Activated: Sending Message."
004021A0   PUSH usb2_dum.004092C0                    ASCII "aim.stop"
004021BA   PUSH usb2_dum.0040B0BC                    ASCII "[Aim]:"
004021C6   PUSH usb2_dum.004092A0                    ASCII "triton.msg"
004021FF   PUSH usb2_dum.0040B3D0                    ASCII "TIM Threads"
0040224E   PUSH usb2_dum.0040B0C4                    ASCII "[Triton]:"
0040225A   PUSH usb2_dum.004092AC                    ASCII "triton.stop"
00402274   PUSH usb2_dum.0040B0C4                    ASCII "[Triton]:"
00402279   PUSH usb2_dum.0040B3E8                    ASCII "%s Thread Disabled."


Comunicación con el c&c IRC





Recomendación: Extremar las medidas cuando conectamos nuestros soportes removibles (pendrives, memorias sd, teléfonos celulares, etc) en una PC que no es del todo confiable, Instalar una solución anti-virus + otra solución anti troyanos como malwarebytes y realizar escaneos regulares.


Muestra:  https://www.dropbox.com/s/gd016xolomenf5p/IRCBOT-02-09-13.zip?m


Es todo por el momento....



@Dkavalanche 2013

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...