30 ene. 2014

CyberGate: troyano que graba webcam (entre otras cosas)

Hace unos días un supuesto hacker (el patético camushackers), supuestamente habría robado y tomado vía webcam, supuestas fotos comprometedoras de distintas personalidades del espectáculo local, para luego postearlas en su cuenta de Twitter. Obviamente luego se probó que nada de eso había pasado pero muchos preguntaban como lo habría hecho. Esta es una de las formas.

En esta oportunidad se envía un correo falso con el asunto "En febrero nuestra aerolínea te obsequia dos tickets ida y vuelta a cualquier destino" simulando provenir de una conocida aerolínea internacional ofreciendo un obsequio espectacular, en el enlace se apunta a un troyano Cybergate RAT (Remote Administration Tool).
Mi amigo Raul me envió esta muestra por lo que le estoy muy agradecido. El iIndice de detecciones es moderado en VirusTotal (14/50).

El malwarre contiene una capa de Crypter en Visual Basic y luego el ejecutable esta compactado con UPX. Para obtener el Dump BP en IsDebuggerPresent / ZwWriteVirtualMemory / ZwResumeThread. Sin la capa del Crypter el número de detecciones obviamente cambia a 45/50.

El malware tiene un keylogger, la habilidad de grabar audio del equipo infectado, listar archivos del sistema, y... utilizar la webcam de la victima:

008B797C MOV EDX,dump3.008BFFBC ASCII "webcaminactive|"
008B7994 MOV EDX,dump3.008BFFD4 ASCII "webcamdllloaded|"
008B79AC MOV EDX,dump3.008BFFBC ASCII "webcaminactive|"
008B79C4 MOV EDX,dump3.008BFFBC ASCII "webcaminactive|"
008B79FD MOV EDX,dump3.008BFFF0 ASCII "webcamsettings"
008B7B01 MOV EDX,dump3.008C0008 ASCII "checkwebcamfile"


En el análisis dinámico podemos hacer una adquisición de la memoria RAM del sistema con Dumpit! para luego buscar strings que nos pueden revelar algo mas.
Por ejemplo aquí podemos ver los datos capturados por el Keylogger antes de ser ofuscados y guardados en el archivo de logging del troyano. También se observa el uso de NO-IP utilizado para contactar al C&C del troyano.

Fuente: Dkavalanche

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!