Título: Malware spreading via Steam chat Publicado por: r32 en 20 Noviembre 2014, 18:50 pm Desde el blog de BartBlaze, comenta sobre un archivo infectado acortado por url via Steam Chat.
Aquí podemos ver al invitado ofrecer la descarga de una imagen acortada la url por bit.ly: (http://33.media.tumblr.com/a01bf401bb27a281ce863fb6cd05de6d/tumblr_neuvnmBc861s9enoho1_400.png) (http://4.bp.blogspot.com/-BVoOu_Avxag/VGjVOl8dk9I/AAAAAAAABCI/5_JiIw2qzQ8/s1600/2_256x256.png) http://onyxhavok.tumblr.com/post/102332902501/so-this-person-added-me-on-steam-today Investigando un poco saqué estos archivos del servidor, el archivo es el mismo en todos los casos, solo cambia la dirección url de descarga, hay varias, pero es mejor acceder al server y bajar todas muestras: (http://i.elhacker.net/i?i=UW2t-fslMir7MgNOrFdR8mVo) La muestra más reciente es paul.exe compilada el dia 17, van retocando casi a diario el server para intentar deshacerse de algunos AV... Fijense en los resultados (185.36.100.181): https://www.google.es/search?q=185.36.100.181&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=eiluVPO6B6mA8QfXm4GYBQ Whois: http://whois.domaintools.com/185.36.100.181 La URL en cuestión es esta: hxxp://bit.ly/1uVoKek Comentar que para poder ver hacia donde nos lleva esa url acortada podemos hacer uso de servicios online como: http://longurl.org/ http://knowurl.com/ http://www.getlinkinfo.com/ Info url acortadas: https://www.osi.es/es/actualidad/blog/2013/05/31/descubre-posibles-riesgos-de-pinchar-en-una-url-acortada Fuente: http://bartblaze.blogspot.com.es/2014/11/malware-spreading-via-steam-chat.html PD: @wolfbcn, si ya la publicaste lo siento de nuevo, saludos. Título: Re: Malware spreading via Steam chat Publicado por: tremolero en 21 Noviembre 2014, 14:02 pm La verdad es que yo tengo ciertas dudas sobre esto, tambien acepte a uno de estos y aqui lo tengo todos los dias con la misma frase y el enlace.
En mi caso, creo que la frase e imagenes es facil de tragarsela, porque habla de hacer un intercambio y de que te enseña una imagen y le digas que quieres. Como siempre mandan lo mismo .scr un protector de pantalla, se ve que se ha puesto de moda intentar colarlas de esa forma. Pero mi duda es, se puede hacer algo? y de lo que la gente haga contra ellos, en tema de etica se puede considerar bueno o malo? Porque vale ahora esta claro que puedes tener cosas en steam, skins y demas que pueden tener un valor economico, pero recuerdo una epoca donde los virus para robar cuentas de counter-strike:source volaban, y era simplmente para entrar con cheats en partidas y putear a la gente y asi automaticamente baneaban la cuenta, asi que no veo realmente la logica. Asi que mi gran duda es, que logran con ello? porque lo unico que se me ocurre es que sea una estrategia de ciertas empresas para que al banear cuentas y juegos, la gente tenga que volver a comprar.... En fin, a ver que comentais. Pd:Creo que el que me pasan a mi es diferente, asi que no se si realmente sera el mismo, seran un grupo o es como los troyanos, uno lo crea y todos lo usan. Título: Re: Malware spreading via Steam chat Publicado por: r32 en 21 Noviembre 2014, 17:30 pm El único objetivo es controlar tu PC, si sacan datos pues mejor, pero que vaya es un troyano para controlar tu pc y utilizar tus recusrsos, ya sea hardware, linea adsl o lo que se le ocurra. Ese es el principal objetivo, lo que sauen después son ·premios· por decirlo de alguna manera, mientras tu pc esta siendo controlado.
Podrías facilitarme por captura o link el que que pasan a ti? Es para ver si es el mismo grupo o uno nuevo haciendo de las suyas. Saludos. Título: Re: Malware spreading via Steam chat Publicado por: tremolero en 24 Noviembre 2014, 18:01 pm Perdon acabo de leerlo, no me habia enterado que me habias contestado.
A ver te explico r32, te traigo varios enlaces xDD Empezamos: - Al abrir hoy steam, me habian escrito en mi perfil a tento al mensaje: "Anaradred hace 15 horas Borrar Hello, I wanna trade with you. My offer on screen: http://scr4you.ru/580gop Thank you:)" (Copio hasta el nombre) -Luego tambien dos mensajes en steam de dos personas creo que diferentes, el primero me manda un mensaje con un enlace, pero despues me manda otro con otro enlace: 1º- "[unassigned]: Hi man i am trader ,and i have Dragonclaw hook i checked your items and i think what we can trade with you check my offer at screenshot screen-hosting.net/Screenshot_49015.png" 2º- "[unassigned]: sup my bro wanna trade with you but he can't add you idt why @_@ try you please to add him http://stearommunity.com/id/OraclE/" (acabo de ver que tengo un tercer mensaje diferente del mismo) 3º- " Hi man i am trader ,and i have very RARE M9 Bayonet Slaughter (FN) i checked your items and i think what we can trade with you check my offer at screenshot http://loadcapture.net/ryfQc/Capture_49015.png" y la otra persona, siempre repite el mismo: "Fierce URSA: Hi, i want to trade for my items Dota 2/CS GO, all i have on screenshot http://screens-save.ru/image_047.jpg , have DC hook, arcanes, sets, AWP, Knifes. If interested, look at the screenshot and write me" Y por ultimo el mas gracioso para mi, porque es el que menos "peligro" tiene, una oferta de intercambio muy troll, la persona me envia una peticion donde el no me enviaria nada y yo le entregaria cajas de armas de cs:go, pero claro la gracia reside en el mensaje que añade y lo copio a continuacion: "Steam Guard: Your account will be credited the amount of $3.43 worth of Steam Money it will be available after you accept. If you refuse the exchange the amount will be returned to the Supernatural. Registration Number: C10680M VAT ID: LV22541915 IDLT Number: 37519715 (?)" En fin, estoy un poco harto con este tipo de cosas, y tengo bastantes dudas relacionadas con lo que se puede hacer o no, si es etico o no, esta claro que lo primero que me direis, sera, pon el perfil en privado, no aceptes a gente desconocida, etc.. ese tipo de consejo, si lo llevamos a un extremo(que tanto me gustan xD) imaginemos ir por la calle, el poner el perfil privado, seria ir tapado desde la cabeza hasta los pies en plan burka y con el no aceptar a nadie, seria como no hablar directamente con ningun desconocido. En fin mis dudas, ya que en menos de 2 semanas no para de aumentar este tipo de ataques y es un poco molesto porque lo mas triste es que son bots, ya que ni contestan. Se puede hacer algo contra ellos? yo los he denunciado a steam, pero no parece que ocurra nada, ademas para crear cuentas de steam creo que no necesitas nada, eso facilita que este tipo de gente creen cuentas sin miedo al posible ban. Intentar averiguar quien es o son, seria ilegal o no etico en este caso? En fin, mi principal intencion es hacer todo lo contrario a ellos, ellos intentan causar problemas a la gente, mi idea es intentar evitar que la gente tenga problemas por este tipo de causa. Un saludo. Título: Re: Malware spreading via Steam chat Publicado por: r32 en 28 Noviembre 2014, 14:41 pm Hola Tremolero aquí tienes la info que he podido sacar, no he indagado del todo pero bueno te puedes hacer a la idea:
URL: hxtp://scr4you.ru/580gop Source URL: http://pastebin.com/M4Zdya1n <Ver iframes> Análisis: VT: https://www.virustotal.com/es/url/8c4480e7d5b0a5e1e0073f3dd6956afa99fbec7e36247bbd1927ab80f0813e41/analysis/1417056284/ SC: http://sitecheck.sucuri.net/results/scr4you.ru QT: http://quttera.com/sitescan/scr4you.ru AI: Anti-Anubis- Fatal error. Traffic: -- WI: Anti - Error Info: IP address resolution: 178.208.83.13 Whois: http://whois.domaintools.com/178.208.83.13 HTTP Response headers: via: HTTP/1.1 GWA x-google-cache-control: remote-fetch server: Apache last-modified: Sun, 23 Nov 2014 23:11:32 GMT connection: keep-alive date: Thu, 27 Nov 2014 02:44:45 GMT content-type: text/html Archivo que descarga: hxtps://www.dropbox.com/s/6chcr2y7a28soyo/LmG8gwXIejRa2l.scr?dl=1 (http://i.elhacker.net/i?i=nm601H_FF7kdymPurcNaeGVo) Análysis: VT: https://www.virustotal.com/es/file/acc91e917252fcaa17b216972b92d528fd6eb4c37c0b04e712552d59f73f1b3e/analysis/1417059200/ --> 0/61 Pcap file: VT: https://www.virustotal.com/es/file/f28910ec609055261f118232157df9b631a47ce2bef9f7288c6656cef7c8a072/analysis/ --> 10 alerts (2 snort/8 suricata) CC: http://camas.comodo.com/cgi-bin/submit?file=570974d26453a8ee217135a75ac078318a5392f9fcad159b2354b9e25428b6ec MS: https://www.metascan-online.com/en/scanresult/file/7fa239ab11ff4165b6f542cd2deb3bec MW: https://malwr.com/analysis/OGI4YzNiMWM3MzI4NDAxMThlNDI3YTIzYzhlZjU1Mjc/ Cambios: Código: C:\DOCUME~1\User\LOCALS~1\Temp\LmG8gwXIejRa2l.scr.config Reg.Keys: Código: HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework Mutexes: Código: Global\CLR_CASOFF_MUTEX Strings: Código: #Strings ++++++++++++++++ 2º: hxtp://stearommunity.com/id/OraclE/ VT: https://www.virustotal.com/es/url/3ff2a16e77c157d019881bbde25f77bcd7db34cbbbbdf425a2c8c63badf58c7c/analysis/1417071903/ --> 6/61 Phising Site Para mi que es el mismo personaje o grupo que intentan esparcir la infección via Steam. Saludos. Título: Re: Malware spreading via Steam chat Publicado por: daryo en 28 Noviembre 2014, 15:15 pm parece .net se puede decompilar?
https://www.jetbrains.com/decompiler/ Título: Re: Malware spreading via Steam chat Publicado por: r32 en 4 Diciembre 2014, 01:19 am parece .net se puede decompilar? Diste en el clavo, aunque PEiD me mostraba compilado en C++/C#. No me fijé bien en las strings, cada vez voy a peor. Citar System.Runtime.CompilerServices ___.netmodule SteamStealer.Properties.Resources.resources D_FUFW Confuser v1.9.0.0 _CorExeMain mscoree.dll Hace referéncia a un troyano , en concreto este: Confuser v1.9.0.0: [ Confuser.zip application, 1057K, uploaded Jun 23, 2012 - 54990 downloads ] http://www.dev-point.com/vb/t384433.html http://confuser.codeplex.com/downloads/get/404433 http://confuser.codeplex.com/releases/view/90044 _________________ Para poder ver el código: ConfuserDeobfuscator: https://github.com/UbbeLoL/ConfuserDeobfuscator/blob/master/ConfuserDeobfuscator/ConfuserDeobfuscator/Deobfuscators/DeobfuscatorFactory.cs http://es.scribd.com/doc/207710371/NET-Decrypt-Confuser-1-9-Methods Desde AT4RE hicieron un anti-confuser: NoFuser_v1.1 http://www.at4re.com/f/showthread.php?10855-%DF%ED%DD%ED%C9-%DD%DF-%D6%DB%D8-Confuser-v1-9-0-0 Descarga: http://www.gulfup.com/?Wenf4a Cita: NoFuser v1.1 - Beta Deobfuscator for vanilla Confuser v1.8 & v1.9. By: RazorX Saludos. Título: Re: Malware spreading via Steam chat Publicado por: r32 en 4 Diciembre 2014, 01:22 am Resultados de RDG:
(http://i.elhacker.net/i?i=D77bpVfsSdhtGtdxSz0E7GVo) (http://i.elhacker.net/i?i=Fmv6ThpyydO8n_L8XBIDzGVo) A ver que saco. Saludos. |