|
Título: Troyano USteal Publicado por: m0sh en 28 Mayo 2013, 21:07 pm Este articulo está basado en el reporte hecho por Microsoft el 22 de mayo “How easily USteal my passwords” donde se encontró un troyano oculto bajo el título de una herramienta para personalizar el juego Dota2.
Este troyano fue creado a través de un builder el cual permite crear el ejecutable con una serie de características personalizables: Capturar información personal del usuario como contraseñas (obtiene la información de los password almacenados en Internet Explorer, Opera, Chrome, Firefox y Safari), permite configurar como se hará el envío de la información ya sea a través de FTP, Email o HTTP y finalmente permite agregar opciones de protección para evitar el análisis (Anti-Wireshark, Anti-VirtualBox, Anti-Anubis, Anti-ProExp, Anti-FileMon, Anti-VMWare, Anti-Debuging, Anti-Sandboxie, Anti-ProcMon y Anti-RegMon). Asi mismo, permite empaquetar el archivo a través de UPX, capturar la información de la dirección IP de la maquina infectada y la apariencia del archivo final. (http://www.nyxbone.com/images/articulos/malware/usteal/UFR5.png) Al ejecutar el archivo se obtienen las contraseñas ya sea a partir de las llaves de registro creadas por las aplicaciones o de una archivo en particular después esta información se comprime y se cifra en un archivo bin creado en una carpeta oculta llamada ufr_reports. (http://www.nyxbone.com/images/articulos/malware/usteal/1u.png) Se puede ver como se leen los contenidos de los archivos key3.db y signons.sqlite que son usados por Firefox para almacenar la información de las contraseñas. (http://www.nyxbone.com/images/articulos/malware/usteal/2u.png) Al analizar el flujo de paquetes de red generados durante el análisis se detectó el uso de herramientas online para obtener la información de la dirección IP (http://www.nyxbone.com/images/articulos/malware/usteal/3u.png) Así como el envío del archivo .bin creado y cifrado por medio del algoritmo base64. (http://www.nyxbone.com/images/articulos/malware/usteal/4u.png) (http://www.nyxbone.com/images/articulos/malware/usteal/5u.png) Al decodificar los datos se puede ver el contenido del archivo con encabezado UFR!, al abrirlo con el builder se podra ver la información de las contraseñas (http://www.nyxbone.com/images/articulos/malware/usteal/8u.png) Saludos Título: Re: Troyano USteal Publicado por: Vaagish en 28 Mayo 2013, 23:51 pm Interesante... pero cada vez odio mas los builders.. al final que sentido tiene? Darle a un monton de novatos la facilidad de "crear" cosas ya creadas.. De que aprendan a programar y usen la cabeza ni hablemos.. no ?
Saludos !! Título: Re: Troyano USteal Publicado por: m0sh en 29 Mayo 2013, 00:14 am Tienes toda la razón Vaagish, los builders en algunos casos no sirven para nada más que para aumentar el ego de "script kiddies", lo importante es crear dudas en cuanto a cómo funciona la aplicación, igual si no les funciona por algún motivo no tendrán suficientes conocimientos para avanzar. Por cierto el artículo de Microsoft en mención es este: http://blogs.technet.com/b/mmpc/archive/2013/05/22/how-easily-usteal-my-passwords.aspx Gracias por el comentario |