Análisis del troyano que afecta a clientes de Banco de Chile y BCI (I)
En el día de hoy nos han reportado el caso de un correo que dice provenir del servicio de LAN Pass y se informa al usuario que ha resultado ganador de un premio por el día de San Valentín, que se celebró el 14 de febrero pasado (un poco tarde) y que dicho premio consta de dos pasajes ida y vuelta a Punta Cana por 3 días y 2 noches todo pago.
El asunto del mensaje es "Felicidades eres uno de nuestros Ganadores" y se puede ver aquí:
Como puede verse en enlace conduce a un sitio chile http://templo[ELIMINADO]/lan/Lan.pdf y desde allí el usuario es redirigido a al descarga de un archivo ejecutable http://204.93.[XXX].38/~re000087/logs/Lan.pdf.exe. Con este pequeño truco de la redirección logra engañar al usuario sobre el tipo de archivo descargado, si bien alguien despierto debería darse cuenta al instante del engaño.
Este archivo EXE es un troyano bancario del tipo Qhost que, al momento de escribir el presente, es detectado por sólo 3 antivirus según el reporte de VirusTotal. Hasta aquí no hay nada nuevo pero este troyano tiene particularidades bastante interesantes que analizaremos a continuación.
El troyano descargado está empaquetado con UPX y el desempaquetarlo se obtiene un código compilado en Visual Basic y en cuyo contenido se puede encontrar variables y código fuente de Visual Script (VBS), PHP, ZEN y Turck MMCache (un acelerador y optimizador de PHP que permitir cifrar los datos) y que en este caso le permite al delincuente cifrar la información que desea ocultar. De todos modos, al desempaquetar el contenido se puede ver el siguiente código PHP:
El código cifrado con PHP Coder y MMCache puede ser encontrado en el código fuente de otros troyanos similares y es utilizado para:
Si se analiza dicho tráfico, se puede ver que el contenido del archivo descargado corresponde al archivo hosts del sistema:
Luego, simplemente copia este contenido al archivo c:\windows\system32\drivers\etc\hosts, logrando modificar de este modo el DNS local del sistema y afectando a todos los clientes de los bancos BCI y Banco de Chile. Este tipo de ataque recibe el nombre de Pharming Local.
Si bien el objetivo del troyano es sumamente simple y conocido y hasta aquí pudo verse la utilización de un par de técnicas interesantes sobre por el uso de PHP y MMCache para lograr el ocultamiento de ciertas parte del código y la descarga del archivo de texto.
Luego, si el usuario ingresa a cualquiera de los bancos afectados, estará ingresando a la IP donde se encuentra el sitio falso:
Como puede verse en la imagen, el sitio es el falso y el formulario correspondiente envía los datos a través de "loginx.php". En cambio en la parte inferior se ve el formulario correspondiente al banco real en donde los datos ingresados por el usuario son enviados a un formulario propio del banco. Esto también puede comprobarse ejecutando un simple comando PING al dominio del banco.
Al ver ambos formularios, es fácil comprobar que efectivamente el usuario ha sido infectado y está ingresando al sitio falso del banco.
Cristian de la Redacción de Segu-Info
El asunto del mensaje es "Felicidades eres uno de nuestros Ganadores" y se puede ver aquí:
Este archivo EXE es un troyano bancario del tipo Qhost que, al momento de escribir el presente, es detectado por sólo 3 antivirus según el reporte de VirusTotal. Hasta aquí no hay nada nuevo pero este troyano tiene particularidades bastante interesantes que analizaremos a continuación.
El troyano descargado está empaquetado con UPX y el desempaquetarlo se obtiene un código compilado en Visual Basic y en cuyo contenido se puede encontrar variables y código fuente de Visual Script (VBS), PHP, ZEN y Turck MMCache (un acelerador y optimizador de PHP que permitir cifrar los datos) y que en este caso le permite al delincuente cifrar la información que desea ocultar. De todos modos, al desempaquetar el contenido se puede ver el siguiente código PHP:
- Copiar el troyano a c:\windows\system
- Ejecutar nuevamente troyano desde esta nueva ubicación (esto se realiza con un código VBS)
- Desactivar las directivas de seguridad de UAC
- Agregar al troyano a la clave de autoarranque del registro (HKLM\Software\Microsoft\Windows\CurrentVersion\Run) para asegurarse el arranque la próxima vez que inicie el sistema
- Descargar un archivo de texto desde tres posibles sitios: http://tubetube [ELIMINADO].in' (dado de baja), http://showtexter [ELIMINADO].in' /dado de baja), http://implesde[ELIMINADO].in' (activo)
Si bien el objetivo del troyano es sumamente simple y conocido y hasta aquí pudo verse la utilización de un par de técnicas interesantes sobre por el uso de PHP y MMCache para lograr el ocultamiento de ciertas parte del código y la descarga del archivo de texto.Luego, si el usuario ingresa a cualquiera de los bancos afectados, estará ingresando a la IP donde se encuentra el sitio falso:
Como puede verse en la imagen, el sitio es el falso y el formulario correspondiente envía los datos a través de "loginx.php". En cambio en la parte inferior se ve el formulario correspondiente al banco real en donde los datos ingresados por el usuario son enviados a un formulario propio del banco. Esto también puede comprobarse ejecutando un simple comando PING al dominio del banco.
Al ver ambos formularios, es fácil comprobar que efectivamente el usuario ha sido infectado y está ingresando al sitio falso del banco.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!