jueves, 13 de febrero de 2014

Troyano: Informe deuda Gobierno de Chile


Les traigo este troyano Screen Overlay programado en Delphi, el cual roba datos de cuentas bancarias de entidades de Chile. Como novedad, un poco vieja y vetusta.. oldschool como diría el downloader descarga un modulo para inutilizar las actualizaciones o descargas de antivirus con el viejo truco de agregar los sitios en el archivo .host apuntando a la dirección loopback.

E-mail Phishing


Los links aprovechan de una vulnerabilidad de redireccion de url.

hxxp://www.buylebanese.com/authenticate.asp?redirectto=http://www.xxxx.br//envio2/Abrir_DOC.zip

Descargamos la amenaza con malzilla.





Lo subimos a Virus total y descubrimos un indice casi nulo en detecciones 1/47, siendo que solamente esta compactado con UPX. (mal por los muchachos buenos...)




Descarga dos payloads y lo ejecuta, uno es el sound.exe y updateflash.exe






sound.exe Corresponde al troyano bancario Screen Overlay.

V.T. 4/50




Formularios desplegados por la amenaza cuando se vista un determinado URL.

https://www.bancochile.cl/SecurityDevicesAdmin/menuMain.do?
bciimg.bci.cl/sitioseguro/NuevoLogin_act.html',0000h
bci.cl/cl/bci/aplicaciones/seguridad/autenticacion/autenticacionSegundaClave.jsf
https://www.bancochile.cl/bchile-perfilamiento/Process?MID=&AID=LOGIN
https://www.bancosecurity.cl/security/loginsecurity.asp
https://www.bancosecurity.cl/empresas/login/usuario/menu/menuInicio.asp
https://www.bancosecurity.cl/security/cartolaexpress/ba_saldos.asp?
https://empresas.bancosecurity.cl/login-contenido/index.asp
http://www.bci.cl/personas/
www.itau.cl/personas/process.asp?MID=&AID=LOGIN
www.itau.cl/personas/azurian.asp

https://banco.itau.cl/wps/portal/BICPublico/acceso-clientes









Cadenas del troyano (desofuscadas)


.::: Itaú :::. TABELA
=================================
Rut
Clave
Correo
Clave
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
{{{{ Tarjeta de Coordenadas }}}}
[A1]
[A2]
[A3]
[A4]
[A5]
[B1]
[B2]
[B3]
[B4]
[B5]
[C1]
[C2]
[C3]
[C4]
[C5]
[D1]
[D2]
[D3]
[D4]
[D5]
[E1]
[E2]
[E3]
[E4]
[E5]
[F1]
[F2]
[F4]
[F5]
[G1]
[G2]
[G3]
[G4]
[G5]
[H1]
[H2]
[H3]
[H4]
[H5]
[I1]
[I2]
[I3]
[I4]
[I5]
[J1]
[J2]
[J3]
[J4]
[J5]
Gracias por confiar en Itau.cl, ahora ya puede acceder a su cuenta normalmente.
.::: Itaú :::. CORREO
=======================
Correo
Clave
https://banco.itau.cl/wps/portal/BICPublico/acceso-clientes
=======================
Rut
Clave
www.itau.cl/personas/process.asp?MID=&AID=LOGIN
www.itau.cl/personas/azurian.asp
.::: Security :::. TABELA
=================================
Rut
Clave
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
{{{{ Tarjeta de Coordenadas }}}}
[A1]
[A2]
[A3]
[A4]
[A5]
[B1]
[B2]
[B3]
[B4]
[B5]
[C1]
[C2]
[C3]
[C4]
[C5]
[D1]
[D2]
[D3]
[D4]
[D5]
[E1]
[E2]
[E3]
[E4]
[E5]
[F1]
[F2]
[F4]
[F5]
[G1]
[G2]
[G3]
[G4]
[G5]
[H1]
[H2]
[H3]
[H4]
[H5]
[I1]
[I2]
[I3]
[I4]
[I5]
[J1]
[J2]
[J3]
[J4]
[J5]
javascript:daSubmit();
javascript
https://personas.bancosecurity.cl/
=======================
Rut
Clave
frut
clave
.::: Security Persona :::..
lrut
lpass
.::: Security Empresa :::...
https://www.bancosecurity.cl/security/loginsecurity.asp
https://www.bancosecurity.cl/empresas/login/usuario/menu/menuInicio.asp
https://www.bancosecurity.cl/security/cartolaexpress/ba_saldos.asp?
input
entrar
https://empresas.bancosecurity.cl/login-contenido/index.asp
http://www.bci.cl/personas/
=======================
Rut
Clave
=======================
((( TOKEN 2 )))
.::: BCI :::. TOKEN
=======================
((( TOKEN 1 )))
=======================
Serial del Token
=======================
((( TOKEN 3 )))
====================
DIGIPASS 2
DIGIPASS 3
DIGIPASS 4
====================
DIGIPASS 1
www.bancodechile.cl
=======================
Rut
Clave
https://www.bancochile.cl/bchile-perfilamiento/Process?MID=&AID=LOGIN
oft\Windows\Cu
GVideo
SkypeMS
.::: Itaú :::.
.::: BCI :::.
.::: BANCO DE CHILE :::.
pcnome=
http://www.jjsports.com.tw//talk/cache/lop.php
titulo=
texto=
http://www.jaakkootaara.fi/img/kot.php
http://users.jyu.fi/~vitapasa/counter/kot.php
http://www.jaakkootaara.fi/img/nbas.php
http://users.jyu.fi/~vitapasa/counter/lays.php
.exe
.exe
Banco Security
Itaú OnLine Banking
Bci.cl - Personas 
Personas | Banco de Chile
Banca Preferencial | Banco de Chile

El envío de los datos robados es a través de distintos .php en sitios comprometidos.

http://www.jjsports.com.tw//talk/cache/lop.php
http://www.jaakkootaara.fi/img/kot.php
http://users.jyu.fi/~vitapasa/counter/kot.php
http://www.jaakkootaara.fi/img/nbas.php
http://users.jyu.fi/~vitapasa/counter/lays.php

Los datos son grabados en un txt en forma ofuscada:



Aquí desofuscado con un decoder que arme.







updateflash.exe Se ejecuta como una falsa actualización de Adobe Flash la cual intenta interferir en las actualizaciones de los antivirus e inutilizarlos quitando accesos a la carpetas donde se encuentran instalados.

V.T. 8/49








 0049480C 'La instalación de Flash Player ha finalizado'


Lineas agregadas al .host para evitar que los antivirus instalados puedan actualizarse o descargarse. (también quita accesos a este archivo)



Carpetas y archivos a los cuales se le quitara el acceso a todo usuario o grupo.


 0049447C '\\Trend Micro'
 00494494 'TrustedInstaller'
 004944B0 '\\Avira'
 004944C0 '\\Avira\\AntiVir Desktop'
 004944E0 '\\ESET\\ESET NOD32 Antivirus\\ekrn.exe'
 0049450C '\\ESET\\ESET NOD32 Antivirus'
 00494530 '\\ESET'
 00494540 '\\AVAST Software'
 00494558 '\\AVAST Software\\Avast'
 00494578 '\\Common Files\\Mcafee\\Platform'
 004945A0 '\\McAfee\\MSC'
 004945B4 '\\McAfee.com\\Agent'
 004945D0 '\\McAfee'
 004945E0 'C:\\Windows\\System32\\drivers\\etc\\hosts'
 0049462C 'C:\\Windows\\System32\\drivers\\etc\\hosts'




 Rutina que quita los accesos.



Así quedan.






Panel donde se envío la campaña de Phishing:



muestra: https://www.dropbox.com/s/a6wus1509cot0gm/banload%2012-02-14.rar


Es todo por el momento.

@Dkavalanche 2014

No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!