Troyano bancario

Ver el tema anterior Ver el tema siguiente Ir abajo

Troyano bancario

Mensaje  r32 el Vie Ago 14, 2015 9:55 pm

Este archivo me llegó a través del msn, de un "chica brasileña" que bien está infectada o intenta infectar. Nunca he hablado con ella pero me llega cada cierto tiempo.

URL de descarga: Pedir al moderador del foro o a mi.

Análisis online:

Anubis: http://anubis.iseclab.org/?action=result&task_id=13ce18b22910d4e84fd6779888568e7e9

VirusTotal: https://www.virustotal.com/file/82d34b76ed08587d62e78088f03e60ae5b868389f0d164c86a25b6fd23b8402a/analysis/1359671924/ (9/46)

Comprimido con UPX:






Peso comprimido: 118 KB
Peso descomprimido: 314 KB

Se inyecta en el proceso i.explore.exe y crea el proceso svchost.exe con la cuenta de admnistrador:




Desde el mismo servidor con otra cuenta de usuario descarga los siguientes archivos:



hxxps://s3-sa-east-1.amazonaws.com/manolomaias/jana.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/carla.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/mara.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/adriana.swf

Crea las carpetas Windows\Drivers en la ruta: C:\Documents and Settings\usuario\Datos de programa\Microsoft\

  Created   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft\Windows   
  Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft   
  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers

Crea los siguientes drivers:

  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd   
  Modifed   0   C:\Documents and Settings\usuario\Datos de programa\drivers   
  Modifed   F1800   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd   
  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd   
  Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\drivers   
  Modifed   99E00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd   
  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl   
  Modifed   12F000   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl   
  Created   7C00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl3264.vxd

Crea el siguiente archivo:

  Created   0   C:\Documents and Settings\usuario\Datos de programa\Microsoft\netA8335EC6security.cpl (100 MB)







Crea de nuevo otro driver:

  Created   0   C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd   
  Modifed   1F   C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd   

Capturas de Process Monitor (lectura y creación de archivos/drivers):














Los archivos descargados inicialmente, aparentemente .swf simplemente son renombrados (los hash de archivo son idénticos):





Verifica cada poco tiempo la conexión a Internet desde Goolgle Brasil:



URL´s del proceso dumpeado "svchost":


hxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=
hxxps://www2.bancobrasil.com.br/aapf/relacionamento/mcib.jsp
hxxps://internetbanking.caixa.gov.br/SIIBC/altera_endereco.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/saldo.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/index.processa
hxxps://www.citibank.com.br/BRGCB/JSO/signon/uname/HomePage.do
hxxps://www2.bancobrasil.com.br/aapf/includesSRP/processaVersionamentoAAPF.jsp?continuarVersaoAtual=sim
hxxp://www.it-eksperten.no/components/com_joomlawatch/log/error.php
hxxp://www.blackgreenfoods.com/plugins/system/error.php
hxxp://www.bb.com.br
hxxp://www.bb.com.br.pf/
hxxps://aapj.bb.com.br/aapj/login.br/SIIBC/index.pr
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxps://aapj.bb.com.br/aapj/loginmpe.bb
hxxps://aapj.bb.com.br/aapj/logingov.bb
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxp://www.santander.com.br
hxxp://www.bb.com.br.com.br
hxxp://www.bradesco.com.br
hxxp://64.120.134.60/1.php

hxxp://liviaeletro2012.com.br/animacao.gif
hxxp://www.liviaeletro2012.com.br/kid/1.php
hxxp://bacana2012.mail.ht/Kid2012/acesso.php./error

No he conseguido entrar al servidor ftp:
xftp://bacana2012.mail.ht/

Capturas de Wireshark:






Los procesos creados pueden ser eliminados sin problemas y no se vuelven a crear.

Aquí una de las web´s del log de Wireshark, donde quedan registrados y publicados todos los datos de los pc´s:

No he subido la imagen por contener datos privados que no creo sea conveniente publicar...
 
Mis datos de entrada publicados en la web:

# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 #  # IP # 2976 # 2013-02-01  #  04:23:39 #  #  # Brazil<br />
13 #
# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 #  # IP # 3884 # 2013-02-01  #  10:33:43 #  #  # Brazil<br />
1 #

La conclusión que he sacado es que se inyecta en el proceso i.explore.exe ayudado por el svchost.exe falso que contiene las url. Al cargar los drivers, se asegura que cada vez que obtenga datos del usuario relacionados con datos bancarios serán enviados a algun servidor.

Un saludo.
avatar
r32
Admin
Admin

Mensajes : 81
Puntos : 1696
Fecha de inscripción : 21/02/2011

https://www.elhacker.net/

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.