lunes, 14 de abril de 2014

Falso Comprobante de Deposito, envía datos robados a un ftp en texto plano...

Hoy les traigo un troyano bancario que roba datos tomando capturas de pantalla, cuando se hace click derecho en el mouse, mas keylogging del teclado, luego estos datos son enviados a un FTP en la nube en un zip.
Las claves del FTP son enviadas en texto plano por lo que los datos pueden ser accedidos por cualquiera que minimamente audite en forma dinámica esta amenaza con Wireshark u otro analizador de paquetes de red.


Correos falsos enviados a las victimas.




Se descarga un Downloader CPL, empaquetado con PE.-Compact.


Desempaquetado contiene esta data:


Erro de aplicativo
Aplicativo não inicializado corretamente (0xc0000135). Clique em OK para finalizar a execução.
.cpl
/modulos/
yusmerym@cantv.net
viado2012
ftp.box.com
shell32.dll,Control_RunDLL
rundll32.exe
.dll
E174D3044694.jpg
regsvr32.exe /s
D63A5E3246A.jpg
regsvr32.exe

Esta amenaza se conecta al FTP ftp.box.com con usuario: yusmerym@cantv.net y password viado2012
Luego descarga dos archivos D63A5E3246A.jpg y E174D3044694.jpg que son dos ejecutables CPL.

Realiza un link a bitly para tener un conteo de infecciones.




Con los datos anteriores nos podemos conectar al FTP y ver todo lo que el delincuente tiene armado.





D63A5E3246A.jpg (CPL) 


Compactado con PE-Compact, se encarga de obtener cuentas de hotmail, gmail, mediante capturas de pantalla y keylogging. Con estas cuentas y mediante robo de identidad el delincuente enviaría el spam a otras victimas. Los datos robados son enviados al FTP.


Ejemplo de captura de pantalla.





E174D3044694.jpg (CPL)


Compactado con PE-Compact, se encarga de robar datos bancarios mediante capturas de pantallas y keylogging, muestra un falso formulario para invitar a la victima ingresar los datos en la web del banco, no realiza Screen Overlay.

Strings Interesantes.

pstorec.dll
PStoreCreateInstance
\Software\Microsoft\Internet Account Manager\Accounts
Identi
Account Name
Nome  .....:
SMTP Display Name
Login .....:
POP3 User Name
Senha .....:
POP3  .....:
POP3 Server
SMTP  .....:
SMTP Server
*.*
To:
From:
cc:
msoe@microsoft.com
dbx
wab
*.wab
C:\
wab
*.mai
mai
*.dbx
dbx
*.tbb
tbb
*.mbx
mbx
*.eml
eml
*.mbox
mbox
\SOFTWARE\Microsoft\Windows\IComplemento
instalado
TRUE
dd_mm_yyyy
hh_mm_ss
_.log
.log
/new2014/smtp/              
marcos_del_arg@hotmail.com
viado2012                          
ftp.box.com                    
multipart/form-data





Falso formulario invitando a las victimas a ingresar a sus cuentas Bancarias.



Capturas de Pantalla al ingreso a la Banca en Linea.



Aquí obtiene la identificación:



En caso que la victima utilice el teclado virtual, es capturada la pantalla en cada click que se realiza en el mouse, por lo que el delincuente puede "ver" que teclas del virtual se pulsaron.




Por otro lado se realiza  también un keylogging.






Por lo que vemos el delincuente puede hacerse de los datos tanto por el keylogger como de la captura de pantalla, en el caso de que se este utilizando un teclado virtual. Las entidades bancarias afectadas deberían contar con un segundo factor de autenticación robusto y fuera de banda para frenar este tipo de amenazas, y por otro lado deben reforzar las campañas de concientización hacia sus clientes.
Obviamente del lado del endpoint se debe contar con un antivirus actualizado y estar atento a este tipo de falsos correos.


PD: Los datos en el FTP al parecer fueron cambiados por el delincuente, ya no pueden ser accedidos.


Muestras+ dumps https://www.dropbox.com/s/phw2mb6i6lvah25/malware-09-04-14.rar?m=



password = infected

Eso fue todo por el momento.




@Dkavalanche 2014


Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...