elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Troyano bancario
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Troyano bancario  (Leído 9,809 veces)
r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Troyano bancario
« en: 2 Febrero 2013, 11:29 am »

Este archivo me llegó a través del msn, de un "chica brasileña" que bien está infectada o intenta infectar. Nunca he hablado con ella pero me llega cada cierto tiempo.

URL de descarga: Pedir al moderador del foro o a mi.

Análisis online:

Anubis: http://anubis.iseclab.org/?action=result&task_id=13ce18b22910d4e84fd6779888568e7e9

VirusTotal: https://www.virustotal.com/file/82d34b76ed08587d62e78088f03e60ae5b868389f0d164c86a25b6fd23b8402a/analysis/1359671924/ (9/46)

Comprimido con UPX:






Peso comprimido: 118 KB
Peso descomprimido: 314 KB

Se inyecta en el proceso i.explore.exe y crea el proceso svchost.exe con la cuenta de admnistrador:




Desde el mismo servidor con otra cuenta de usuario descarga los siguientes archivos:



hxxps://s3-sa-east-1.amazonaws.com/manolomaias/jana.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/carla.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/mara.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/adriana.swf

Crea las carpetas Windows\Drivers en la ruta: C:\Documents and Settings\usuario\Datos de programa\Microsoft\

  Created   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft\Windows   
  Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft   
  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers

Crea los siguientes drivers:

  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd   
  Modifed   0   C:\Documents and Settings\usuario\Datos de programa\drivers   
  Modifed   F1800   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd   
  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd   
  Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\drivers   
  Modifed   99E00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd   
  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl   
  Modifed   12F000   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl   
  Created   7C00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl3264.vxd

Crea el siguiente archivo:

  Created   0   C:\Documents and Settings\usuario\Datos de programa\Microsoft\netA8335EC6security.cpl (100 MB)







Crea de nuevo otro driver:

  Created   0   C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd   
  Modifed   1F   C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd   

Capturas de Process Monitor (lectura y creación de archivos/drivers):














Los archivos descargados inicialmente, aparentemente .swf simplemente son renombrados (los hash de archivo son idénticos):





Verifica cada poco tiempo la conexión a Internet desde Goolgle Brasil:



URL´s del proceso dumpeado "svchost":


hxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=
hxxps://www2.bancobrasil.com.br/aapf/relacionamento/mcib.jsp
hxxps://internetbanking.caixa.gov.br/SIIBC/altera_endereco.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/saldo.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/index.processa
hxxps://www.citibank.com.br/BRGCB/JSO/signon/uname/HomePage.do
hxxps://www2.bancobrasil.com.br/aapf/includesSRP/processaVersionamentoAAPF.jsp?continuarVersaoAtual=sim
hxxp://www.it-eksperten.no/components/com_joomlawatch/log/error.php
hxxp://www.blackgreenfoods.com/plugins/system/error.php
hxxp://www.bb.com.br
hxxp://www.bb.com.br.pf/
hxxps://aapj.bb.com.br/aapj/login.br/SIIBC/index.pr
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxps://aapj.bb.com.br/aapj/loginmpe.bb
hxxps://aapj.bb.com.br/aapj/logingov.bb
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxp://www.santander.com.br
hxxp://www.bb.com.br.com.br
hxxp://www.bradesco.com.br
hxxp://64.120.134.60/1.php

hxxp://liviaeletro2012.com.br/animacao.gif
hxxp://www.liviaeletro2012.com.br/kid/1.php
hxxp://bacana2012.mail.ht/Kid2012/acesso.php./error

No he conseguido entrar al servidor ftp:
xftp://bacana2012.mail.ht/

Capturas de Wireshark:






Los procesos creados pueden ser eliminados sin problemas y no se vuelven a crear.

Aquí una de las web´s del log de Wireshark, donde quedan registrados y publicados todos los datos de los pc´s:

No he subido la imagen por contener datos privados que no creo sea conveniente publicar...
 
Mis datos de entrada publicados en la web:

# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 #  # IP # 2976 # 2013-02-01  #  04:23:39 #  #  # Brazil<br />
13 #
# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 #  # IP # 3884 # 2013-02-01  #  10:33:43 #  #  # Brazil<br />
1 #


La conclusión que he sacado es que se inyecta en el proceso i.explore.exe ayudado por el svchost.exe falso que contiene las url. Al cargar los drivers, se asegura que cada vez que obtenga datos del usuario relacionados con datos bancarios serán enviados a algun servidor.

Un saludo.
« Última modificación: 2 Febrero 2013, 11:33 am por r32 » En línea

$Edu$


Desconectado Desconectado

Mensajes: 1.842



Ver Perfil
Re: Troyano bancario
« Respuesta #1 en: 2 Febrero 2013, 12:01 pm »

Buen analisis!
En línea

m0sh

Desconectado Desconectado

Mensajes: 13


Ver Perfil WWW
Re: Troyano bancario
« Respuesta #2 en: 2 Febrero 2013, 21:05 pm »


Muy interesante, excelente trabajo.
En línea

www.NYXBONE.com
Twiter: @nyxbone
r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: Troyano bancario
« Respuesta #3 en: 4 Febrero 2013, 03:48 am »

Gracias $Edu$ y m0sh, ayer recibí otra muestra sin muchos cambios, si hay algo más lo colocaré en este mismo tema.

Saludos.
En línea

Danyfirex


Desconectado Desconectado

Mensajes: 493


My Dear Mizuho


Ver Perfil
Re: Troyano bancario
« Respuesta #4 en: 5 Febrero 2013, 16:16 pm »

 ;-) Impecable. Gracias bonito Análisis   ;-)
En línea

Tryptophan

Desconectado Desconectado

Mensajes: 52


Ver Perfil
Re: Troyano bancario
« Respuesta #5 en: 5 Febrero 2013, 22:00 pm »

Muy, muy, muy buen análisis.
En línea

jackgris

Desconectado Desconectado

Mensajes: 149



Ver Perfil
Re: Troyano bancario
« Respuesta #6 en: 6 Febrero 2013, 13:31 pm »

Excelente el análisis  ;-) ;-) ;-) ;-)
En línea

patofeo

Desconectado Desconectado

Mensajes: 5


Ver Perfil WWW
Re: Troyano bancario
« Respuesta #7 en: 7 Febrero 2013, 13:00 pm »

Exelente trabajo!!
En línea

http://www.competenciaperfecta.com CompetenciaPerfecta.com - Tu nueva comunidad de compra y venta por internet
Lion666

Desconectado Desconectado

Mensajes: 7


-futbol +airsoft


Ver Perfil
Re: Troyano bancario
« Respuesta #8 en: 28 Febrero 2013, 22:48 pm »

Muy interesante, y muy buen analisis  ;-)
En línea

Si vis pacem para bellum
sandallwood

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Troyano bancario
« Respuesta #9 en: 7 Marzo 2013, 03:56 am »

te lo has currado r32, gracias por compartirlo! un saludo!  :o
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines