Pharming a través de Facebook
por: malware/unam-cert
En días pasados recibimos un correo electrónico que invitaba al usuario a descargar y ver un comentario típico de Facebook.
www.xxxx.com/carro/img/system32
|-- facebookcomment.exe
El ejecutable fue analizado con motores antivirus y apenas fue detectado por dos firmas.
Al hacer un análisis de cadenas, nos percatamos que no se encuentra
ofuscado y que fue programado en Visual Basic, un proyecto que el mismo
autor llamó pharming.
El tráfico capturado por el sniffer muestra que de dicho sitio en España, trae consigo las cadenas que serán sustituidas en el archivo de hosts.
Fuente: Proyecto Malware - UNAM CERT
En días pasados recibimos un correo electrónico que invitaba al usuario a descargar y ver un comentario típico de Facebook.
Al visitar la liga vemos que es de una empresa que
ofrece libros por internet, seguramente han vulnerado su servidor y han
alojado malware en él, creando una carpeta llamada System32 donde fueron
colocados un archivo ejecutable (facebookcomment.exe) y un archivo html
(index.html).
www.xxxx.com/carro/img/system32
|-- facebookcomment.exe
-- index.html
El ejecutable fue analizado con motores antivirus y apenas fue detectado por dos firmas.
Al ejecutar el malware en el laboratorio, crea un proceso llamado facebook.exe,
Posteriormente, comienza a conectarse a un sitio de
España y descarga una cookie, aproximadamente cada 3 minutos. La cookie
se aloja en los archivos temporales de internet.
Crea y aloja en la carpeta System32 un archivo llamado updmnngr.exe.
El tráfico capturado por el sniffer muestra que de dicho sitio en España, trae consigo las cadenas que serán sustituidas en el archivo de hosts.
El archivo de hosts igualmente se encuentra modificándose continuamente, quedando con la siguiente información.
El malware deja abierto el puerto 1320 UDP, posiblemente pueda ser una puerta trasera.
El malware se agrega a la llave de registro updmnngr que hace referencia
al archivo que colocó en System32, para poder garantizar su ejecución
en cada inicio de sistema.
Comprobamos los sitios phishing a donde hacía referencia y todos se encontraban activos.Fuente: Proyecto Malware - UNAM CERT
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!