20 oct. 2011

Análisis del troyano de las multas (caso brasileño)

En los últimos días hemos recibido varios casos de troyanos que afectan a diferentes bancos argentinos y brasileños, iniciando la propagación e infección a través de correos con supuestas multas de tránsito. Hace unos días publicamos los análisis del troyano argentino y ahora realizamos el análisis del caso brasileño.

Como mencioné, inicialmente el troyano se propaga a través de correos electrónicos que invitan a descargar un archivo con la multa mencionada. Al descargar el archivo multa.exe desde diferentes servidores vulnerados, se puede verificar que el mismo se encuentra compilado con Visual Basic y no tiene ninguna complejidad en su análisis estático: se trata de un troyano downloader que lo único que hace es descargar otro troyano desde otro servidor vulnerado, como ya describimos.

El nuevo archivo descargado notificacao.com se encuentra empaquetado con UPX y al realizar el desempaquetado se puede obtener lo siguiente:
Este nuevo troyano se encuentra desarrollado en Delphi y es notable la diferencia de tamaño de 5 MB del archivo empaquetado versus los 23 MB del desempaquetado y esto es por la gran cantidad de código que el troyano nunca parece utilizar.

Este nuevo troyano es el que efectivamente realizar el "trabajo  duro" ya que se trata de un banker que es utilizado para robar información confidencial de cuentas y certificados digitales del banco Bradesco NetEmpresa.
Con respecto a porqué utilizar dos troyanos, la respuesta es simple: es más fácil propagar un malware de 24 KB (el downloader) que uno de 5 MB o de 23 MB (el banker).


Al ejecutar (análisis dinámico) el primer archivo multas.exe, efectivamente podemos comprobar todo lo mencionado anteriormente y se pueden ver varios procesos activos. Este nuevo archivo c:\windows\system32\ctfmor.exe efectivamente es el troyano en Delphi descargado y ya ejecutándose en el equipo infectado:
Con respecto al tráfico de red, puede verse como efectivamente lo único que hace multas.exe es descargar el archivo mencionado:
Una vez activo ctfmor.exe (el troyano bancario), comienza a obtener los datos del usuario y a grabarlos en un archivo c:\windows\Key_SuperKill para posteriormente enviarlo adjunto por correo electrónico al delincuente:
En el análisis estático efectivamente se puede comprobar los datos de esta persona así como el servidor utilizado para realizar dicho envío, a través de un script PHP llamado enviador.php. Además de este proceso, en el código fuente existen otras funciones similares que parecen nunca ser utilizadas y pueden corresponder a versiones anteriores del troyano.
Si nuevamente analizamos el tráfico de red puede constatarse el envío de los datos robados así como los archivos de los certificados digitales *.CRT alojados en el equipo infectado:
Como puede verse el funcionamiento es muy sencillo y la colaboración entre los dos archivos dañinos (downloader y banker) se realiza en perfecta armonía para lograr el mayor éxito posible del delincuente.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!