Pharming a través de Facebook

por: malware/unam-cert

En días pasados recibimos un correo electrónico que invitaba al usuario a descargar y ver un comentario típico de Facebook.

Al visitar la liga vemos que es de una empresa que ofrece libros por internet, seguramente han vulnerado su servidor y han alojado malware en él, creando una carpeta llamada System32 donde fueron colocados un archivo ejecutable (facebookcomment.exe) y un archivo html (index.html).

www.xxxx.com/carro/img/system32

|-- facebookcomment.exe

-- index.html

El ejecutable fue analizado con motores antivirus y apenas fue detectado por dos firmas.

Al hacer un análisis de cadenas, nos percatamos que no se encuentra ofuscado y que fue programado en Visual Basic, un proyecto que el mismo autor llamó pharming.

Al ejecutar el malware en el laboratorio, crea un proceso llamado facebook.exe,

Posteriormente, comienza a conectarse a un sitio de España y descarga una cookie, aproximadamente cada 3 minutos. La cookie se aloja en los archivos temporales de internet.

Crea y aloja en la carpeta System32 un archivo llamado updmnngr.exe.

El tráfico capturado por el sniffer muestra que de dicho sitio en España, trae consigo las cadenas que serán sustituidas en el archivo de hosts.

El archivo de hosts igualmente se encuentra modificándose continuamente, quedando con la siguiente información. 

El malware deja abierto el puerto 1320 UDP, posiblemente pueda ser una puerta trasera.

El malware se agrega a la llave de registro updmnngr que hace referencia al archivo que colocó en System32, para poder garantizar su ejecución en cada inicio de sistema.

Comprobamos los sitios phishing a donde hacía referencia y todos se encontraban activos.

Fuente: Proyecto Malware - UNAM CERT

Suscríbete a nuestro Boletín