Canal de Telegram

1 dic 2011

Segu-Info » , » Vuelven las fotomultas con malware (análisis de los troyanos)

Vuelven las fotomultas con malware (análisis de los troyanos)

1 dic 2011, 11:00:00 a.m.   Comenta primero!
  ,  
Tal y como informamos ayer en nuestro Twitter seguinfo, en las últimas horas ha vuelto a circular el correo falso que dice provenir Sistema de Multas de transito (SMTA) (detransito.gov.ar) pero que en realidad son correos con el objetivo de engañar e infectar al usuario.
De: Urgente
Enviado: miércoles, 30 de noviembre de 2011 23:19
Asunto: Multas de transito pendientes

Fecha de emision: 30/11/2011 Republica Argentina

Estimado contribuyente:
Detectamos en nuestro Sistema de Multas de transito (SMTA) varias infracciones cometidas por su vehiculo, debido a que usted no se notifico en el tribunal de faltas correspondiente le reenviamos las Multas con su respectivas fotos.
Si usted no regulariza las infracciones correspondientes en los proximos 90 dias a partir de la fecha de emision de este comunicado su vehiculo sera informado como deudor y pasara a formar parte del Veraz, conforme Ley n 12.549 de 1/04/2008.
La inclusion de su vehiculo en el Veraz le impedira la venta regular de su vehiculo en la Republica Argentina.

Adjuntamos en este informe las infracciones realizadas: FOTO 1 - FOTO 2 - FOTO 3 (enlaces dañinos)
(Articulo 127,� 2� de Impuesto al automotor y articulo 3 y 7 de Resolucion n 629/001 )� El propietario del vehiculo queda notificado por este medio.

The information contained in this message may be privileged and confidential and protected from disclosure. If the reader of this message is not the intended recipient, or an employee or agent responsible for delivering this message to the intended recipient, you are hereby notified that any dissemination, distribution, or copy of this communication is strictly prohibited. If you have received this communication in error, please notify us immediately by replying to the message and deleting it from your computer.
Los enlaces conducen a los siguientes sitios, aunque seguramente en las próximas horas el delincuentes los cambiará:
  • http://www.aviaco[ELIMINADO].com/js/Notificacion.exe
  • http://www.flowerk[ELIMINADO].se//layout/Notificacion.exe
  • http://viz[ELIMINADO].org/en/products//vz222/Notificacion.exe
El archivo Notificacion.exe es detectado por pocos antivirus y se trata de un troyano downloader, desarrollado en Delphi y empaquetado con UPX, que descarga otro archivo desde http://jupiterprosthodon[ELIMINADO].com/images/android.exe (análisis de VT).

Este archivo es un troyano bancario también desarrollado en Delphi y empaquetado con UPX, el cual es copiado al perfil del usuario (C:\Documents and Settings\[USUARIO]\Configuración local\Datos de programa\Unilessss\Winservices.exe) y ejecutado. Una vez desempaquetado el archivo tiene un tamaño de 27 MB y en este ataque en particular se busca infectar a usuarios de los bancos argentinos Patagonia, Galicia, Francés, Comafi, StandardBank y Santander Río, para robar información correspondiente a sus cuentas bancarias.

Una vez que el usuario está infectado, e ingresa al sitio web de cualquiera de los bancos mencionados, el malware toma el control del sistema operativo, elimina el navegador de memoria y reemplaza la página web del banco por un formulario propio, desde donde solicita la información del usuario y posteriormente la envía al delincuente. En esta imagen se puede ver este formulario falso:
Este es el motivo por el cual el troyano tiene un tamaño tan grande, ya que simula los formularios de todos los bancos a través de imágenes que están dentro del código del mismo.
Una vez robados, los datos son enviados a través de un formulario alojado en www.houseimmobi[ELIMINADO].it/php/fostem.php y "cifrados" en hexadecimal.

Actualización: los dominios que utiliza para realizar el envío de datos robados son:
  • http://clear[ELIMINADO].fr/labora.php
  • http://www.les[ELIMINADO].com/en/Itecf.php
  • http://web4.audu[ELIMINADO].org/bird/cbc//regional/labora.php
  • http://www.hippodrome-cor[ELIMINADO].com//Hippodrome/Les_partenaires/fostem.php
  • http://www.houseimmobi[ELIMINADO].it/php/fostem.php
  • http://www.groupe-[ELIMINADO].com/gosier/images/wap/fostem.php
  • http://www.blu-ya[ELIMINADO].com/top/washb.php
  • http://www.blythwildlife[ELIMINADO].co.uk/washb.php
Además busca descargar actualizaciones desde los siguientes servidores:
  • http://www.alpillespri[ELIMINADO].com/gb/up11.exe
  • http://www.livingradian[ELIMINADO].com/pictures/up11.exe
  • http://www.ulisse[ELIMINADO].it//imageflow2/up11.exe
  • http://www.robust[ELIMINADO].com/up11.exe
  • http://www.grasse[ELIMINADO].com/up11.exe
  • http://www.livingradian[ELIMINADO].com/pictures/tool2.exe
  • http://www.alpillespri[ELIMINADO].com/gb/tool2.exe
  • http://www.tehnobe[ELIMINADO].ru/up11.exe
  • http://www.appartement-ste[ELIMINADO].nl/image/tool2.exe
  • http://www.darumca[ELIMINADO].dk/pictures/tool2.exe
  • http://www.grasse[ELIMINADO].com/tool2.exe
  • http://www.groupe-[ELIMINADO].com/gosier/images/fr/tool2.exe
Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!