Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: r32 en 13 Julio 2018, 19:13 pm


Título: Hancitor - Troyano bancario vuelve, usando documento de Word adjunto
Publicado por: r32 en 13 Julio 2018, 19:13 pm
(https://www.sentinelone.com/wp-content/uploads/2018/07/Hancitor-banking-trojan-is-back.png)

El troyano Hancitor, también conocido como Chanitor, es un programa de descarga que se observó por primera vez en 2014. En aquel entonces, distribuía su carga útil a través de un archivo adjunto de documentos electrónicos de Microsoft Word con macros maliciosos incrustados. Con los años, se han visto varios sabores en la naturaleza con una variedad de técnicas de infección. Algunos ejemplos:

Una macro en un documento adjunto contiene shellcode codificado y usa llamadas API nativas dentro de Visual Basic (VB) para pasar la ejecución, crear y descifrar el malware incrustado.
Otro sabor que se ve en la naturaleza implica un archivo adjunto malicioso que descarga una carga adicional para descargar el malware sin archivos Pony / Evil Pony o los ejecutables Zeus / Vawtrak, que luego roba datos y se conecta a un servidor C2.
El troyano Hancitor generalmente usa correos electrónicos de phishing como método de infección. Varias campañas de correo electrónico de phishing entregaron notificaciones falsas de tickets de estacionamiento. El mensaje solicita al destinatario que haga clic en el enlace para pagar su boleto y dirige a la víctima a un documento malicioso de Microsoft Word.

Otro spam de correo electrónico común que se ve se origina en Intuit o HalloFax, alienta al usuario a descargar un fax, que luego desencadena la infección.

(https://www.sentinelone.com/wp-content/uploads/2018/07/hellofax.png)

x1ksI-Mya9c

Recientes URL de distribución de Hancitor:

hxxp://altilium.com
hxxp://altilium.net
hxxp://autoaccidentplaintiff.com
hxxp://braininjuryplaintiff.com
hxxp://dryerventwizardcanada.co
hxxp://dryerventwizardcanada.net
hxxp://dryerventwizardcanada.org
hxxp://getlintout.mobi
hxxp://getlintout.net
hxxp://getlintout.org
hxxp://getthelintout.info
hxxp://keystoneacres.org
hxxp://newjerseyplaintiff.com
hxxp://newyorkplaintiff.com
hxxp://pbtmail.com
hxxp://slipandfallplaintiff.com
hxxp://thedryerventwizard.biz
hxxp://thedryerventwizard.ca
hxxp://wegetthelintout.ca
hxxp://wegetthelintout.net
hxxp://autoaccidentplaintiff.com
hxxp://beaconhcg.com
hxxp://bingjcarbone.com
hxxp://dryerventwizard.biz
hxxp://dryerventwizardcanada.co
hxxp://dryerventwizardcanada.info
hxxp://dryerventwizardcanada.net
hxxp://getlintout.info
hxxp://getlintout.net
hxxp://getlintout.org
hxxp://leadershipinstyle.com
hxxp://lightstonemed.com
hxxp://lightstonemedical.com
hxxp://myventbiz.com
hxxp://newjerseyplaintiff.com
hxxp://newyorkplaintiff.com
hxxp://theventwizards.com
hxxp://ventwizards.com
hxxp://woundsuckers.com

HANCITOR C2
hxxp://onerefrepnot.com/4/forum.php
hxxp://talighutsin.ru/4/forum.php
hxxp://undsuphesgot.ru/4/forum.php
hxxp://heghihedning.com/4/forum.php
hxxp://parhowtorshim.ru/4/forum.php
hxxp://leftsihemper.ru/4/forum.php

PONY / EVILPONY / PANDA BANKER PAYLOAD URLS
hxxp://aakaii.com/wp-content/plugins/post-thumbnail-editor/2
hxxp://aakaii.com/wp-content/plugins/post-thumbnail-editor/1
hxxp://aakaii.com/wp-content/plugins/post-thumbnail-editor/3

PONY / EVIL PONY C2
hxxp://onerefrepnot.com/mlu/forum.php
hxxp://onerefrepnot.com/d2/about.php

Saludos.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines