56A7D9DE4EA7DACC677A9244A49FEE38 " />
Overblog
Edit post Seguir este blog Administration + Create my blog

Nueva Spy Banquero Troya Telax dirigida a habla Portuguesa

por Bienvenidos a Portal Tecnologico 23 Diciembre 2015, 14:53 Troyano Banquero Downloader Troya Whatsapp Facebook Avast Antivirus bit-ly descuentos

Introducción

El Zscaler ThreatLabZ ha Seguido de cerca Una Nueva Campaña espía troyano bancario Que ha Sido Dirigida a los Usuarios de habla portuguesa en Brasil. Los Autores de malware se estan Aprovechando los Servidores de Google Cloud párrafo Acoger el Programa  espía Banquero Downloader Troya,  Que es responsable de la Descarga e instalación  del espía troyano bancario  Telax. Los atacantes estan utilizando Tácticas de ingeniería social, el de Como ofrecer cupones de descuento antivirus de software libre Como WhatsApp y Avast, párr Atraer al usuario final de un descargar e Instalar la carga maliciosa. Sitios de redes sociales de Facebook y Twitter Principalmente se utilizan párr Difundir Una URL acortada (utilizando el servicio bit.ly) Que Apunta una ONU Servidor de Google Cloud Anfitrión de la carga maliciosa con .COM o extensiones de archivo .EXE.
 

Detalles de la Campana

El ataque Comienza con Una URL acortada publicado En un sitio de redes sociales oa Través de la Unidad de Descarga de este sitios maliciosos posando párrafo prima de software ofrecer o cupones. A Continuación se Muestra Una Reciente cadena de ataque Donde el usuario Hace click En un enlace para Compartir un Través de Facebook Que Llevan a la Descarga de Telax carga útil:

Figura 1: Spy Banquero Telax servidor a través de Facebook

Figura 1: Spy Banquero Telax servidor a través de Facebook

El enlace Apunta bit.ly una ONU Alojada PHP archivo en el Servidor de Google Cloud Que hace Una redirección 302 párr descargar la carga inicial Spy Banquero Downloader Troya. El archivo ejecutable receitanet.com this planteando Que El servicio Federal de Ingresos fiscales en línea ahora vuelve de Brasil.Hemos visto también Otros temas Que ofrecen las Aplicaciones de software de alta Calidad falsos y vales de descuento de Como se ve desde los Nombres de los Archivos de abajo. Nombres de archivo carga maliciosa:

 

  • americanas.com

  • americanas.exe

  • app.ricardoeletro.com

  • atube.com

  • avast.com

  • AvastPro.exe

  • baixaki.com

  • receitanet.com

  • ricardoeletro.com

  • setup.exe

  • submarino.com

  • voucher.americanas.com

  • voucher.mercadolivre.com

  • voucher.ricardoeletro.com

  • walmart.com

  • web.whatsapp.com

  • whatsapp_setup.exe

  • WhatsApp_Setup.exe

A Continuación se Presentan las Estadísticas (de Crédito: Bit.ly) Sobre el Número de Usuarios en los clics Que were Registrados Sobre la Campaña de ataque Compartida en la Figura 1:

Figura 2: El usuario hace clic en el enlace bit.ly malicioso

Figura 2: El usuario hace clic en el enlace bit.ly malicioso

La Mayoría de los Usuarios Objetivo plomo Eran al enlace bit.ly malicioso de Facebook Como se ve un Continuación:

Figura 3: Fuente de las visitas bit.ly enlace

Figura 3: Fuente de las visitas bit.ly enlace

: Además de los Sitios de redes sociales, también VIMOS a Los Usuarios Que Llegan a las cargas Útiles Spy Banquero Telax alojados en Los Servidores de Google Nube de los Siguientes este sitios:

  • aquinofinal [.] com

  • aquiredire [.] com

  • brasildareceita [.] com

  • mundodareceita [.] com

  • ofertasplusdescontos [.] com

Todos Menos uno de los dominios mencionados anteriormente estan embargado por Go Daddy Y Que Ya No Activos ESTAN. Una Rápida  WHOIS  mirada por el Dominio activo Muestra Que se registro recientemente en 'kleyb maxbell' con siguiente información:

Figura 4: La información Whois para un dominio de ataque

Figura 4: La información Whois para un dominio de ataque

[.] Encontramos Otro Dominio 'ofertasmaxdescontos com », Registrada por El Mismo usuario Que también Parece Estar redirigiendo ACTIVAMENTE una los Usuarios a la carga maliciosa alojado En un Servidor de Google Cloud predeterminada Como se ve un Continuación:

Figura 5: dominios ataque activo

Figura 5: dominios ataque activo

Es Importante Tener en Cuenta Que Google ya ja limpiado los Servidores de La Nube Siendo redirigidos ACTUALMENTE POR ESTOS DOS este sitios Activos y por lo del tanto el ciclo de Infección se producira con error de un un Mensaje 404 Not Found. Distribución Geográfica de los Usuarios de · · intentar descargar los episodios finales carga maliciosa de la figura 1 se Muestra  Continuación:
 

        Figura 6: Distribución geográfica de los usuarios de destino

        Figura 6: Distribución geográfica de los usuarios de destino

Como era de Esperar, la Mayoría de los Usuarios Destinatarios of this Campana de software malicioso hijo de Brasil. Es Importante Tener en Cuenta Que El Éxito of this ataque Depende Principalmente de las Tácticas de ingeniería social, párr Convencer al usuario en definitiva la Apertura de la carga útil descargado.

Análisis espía troyano bancario Telax

El archivo inicial Que se Descarga es la espía Banquero Downloader Troya. El Descargador de Troya es Contacto Responsable de La Descarga y La Ejecucion De La carga útil finales à partir de Una Lista de direcciones URL predeterminadas Como Se ve un Continuación:

URL Downloader Troya Hardcoded: Figura 7

URL Downloader Troya Hardcoded: Figura 7

La carga útil final, Spy Banquero Troya Telax, Es Un ejecutable Delphi Que es Capaz de robar credenciales bancarias dirigidas a los Usuarios portugueses. Tras la Ejecucion, Telax inyecta código malicioso en proceso legítimo de compilador de Visual Basic (vbc.exe). . El código inyectado Primero comprueba la Presencia de entorno de Como virtuales VMware, Virtual Box, Vino y Virtual PC en El Sistema de destino Telax ejecutable Contiene los Siguientes Archivos ADICIONALES incorporados en su section de recursos:
 

  • SQLLite.dll - legítima SQL Lite binaria

  • Componente rootkit de 32 bits

  • Componente rootkit de 64 bits

  • Copia de 64 bits de sí Mismo

Dependiendo del bit-ness del Sistema Operativo de destino, Telax registrará rootkit conductor el apropiado:

HKLM \ SYSTEM \ CurrentControlSet \ Services \ hookmgr \ ImagePath: "<usuario> \ <CurrentLocation> \ hookmgr.sys"

La forma principal de Que HEMOS extraído de la binaria Delphi malicioso se llama 'Telax' por el autor y Se Puede ver un Continuación:

Figura 8: forma principal espía Banquero Telax

Figura 8: forma principal espía Banquero Telax

Aqui esta la translation de las Características preconfigurados se encuentran En Este bot:

  • Auto sí reconectar perder Conexao -> reconexión automática pierde La Conexión

  • bloquear VM -> Bloque de VM

  • Proteger Processo -> Proteger Proceso

  • Mensagem de INSTALACAO -> Instalación Mensaje

  • Infectar Gerar -> Generar infectar

  • Ativar Anfitrión -> Habilitar Anfitrión

  • Actualización ativar -> Actualización Activar

  • asesino ativar -> Activar asesino

  • Gusano ativar -> Activar Worm

  • Versão -> Versión

  • Porta -> Puerto


Los Siguientes hijo los módulos Telax ADICIONALES Que VIMOS del nuestro Durante Análisis:  A.Modulename: TnHulk.MITO  Detecta Instalado Aplicaciones antivirus en El Sistema. Se busca especificamente Siguientes ejecutables antivirus en el Sistema de destino: BavUpdater.exe - Baidu Antivirus instup.exe - Avast avgmfapx.exe - AVG Update.exe - Symantec  B. Modulename: TTitulo.IPTX. Responsable de descifrar cadenas incrustadas en el archivo  C Modulename:  TXRPD. Responsable de la instalacion de software malicioso en el Sistema de D. Modulename: TLISTING  Contiene las Funciones de rootkit  Comunicación Red  Despues de la Instalación Exitosa, Telax Envía siguiente Información un remoto Servidor ONU Mando y Control (C & C):


















 

 

Figura 9: comunicación Telax C & C

Figura 9: comunicación Telax C & C

Los Siguientes hijo los Comandos de C & C Que Son utilizados por Telax párr su Comunicación:

Mando

Descripción

<| PING |>

Comprobación del estado de la Conexión

<| Información |>

Envía Detalles OS infectadas y versión bot

<| Cerrar |>

Cierre TODAS LAS Conexiones

<| DESI |>

Sí Desinstalar

<| Reini |>

Sistema del recomenzar

<| RequestInfo |>

Solicitud de información Sobre Instalar antivirus, antispyware y firewall

<| REQUESTKEYBOARD |>

Envía pulsaciones de Teclas a la ventana de Aplicación activa

<| HjiopPos |>

Posicion Set del ratón

<| HjiopLD |>

Conjunto del ratón Botón izquierdo

<| HjiopLU |>

Conjunto Botón izquierdo del ratón Hasta

<| POWT |>

Escriba cadena dada en la ventana real

{DESMON}

Establece el estado de la Pantalla Mediante Mensaje de ventana WM_SYSCOMMAND



También encontramos Paneles falsos Para La Autenticación de Dos Factores Que presumiblemente se utilizació párrafo Capturar y Pasar por alto el Mecanismo de Autenticación de dos factors.
 

Figura 10: Panel de autenticación de dos factores Fake

Figura 10: Panel de autenticación de dos factores Fake

Telax Downloader Hashes
1101C68DF9B31D1C086902D12ECC8521 
14066DDD16BF58CD8815F19B183A2801 
18FDAA5C3BC8519798912DD8CFDBA0FD 
391022155B4BF56309E335308CA86E9D 
3DF54DA82678F377FE3FA0AC2122550B 
3EAD81990D055C6B7F9F026912D06C28 
47ADF66B8AADFA147FF4E528B9F1ADC1 
4AA96DC421E509C51F69BF3253702FC4 
53D7A67EBF62150288FABF3AA38F0D06 
5B3C393563FEEFE50D5B79B555896EA2 
695C89E87D18FE9C7BBEBD65E2DA8308 
6D27E0A7F9753DCD27B0418023077342 
6DC1168629BBFD1AF343B13E08C0FC72 
710E945AC8247B3F8B19022A9401E351 
9648CED20C9BBD304F3234644842F663 
A87112588AD6F5DD4C4D8F88442F6B66 
B037980732D665EE46662A2D3D5D067D 
BA6F9083D4F559BBBC000806C6357C9F 
C4EBF36C756504F30D80BEDAECC27AF9 
CF2D555048B87BED05D0486F00209797 
D1D29793D9FA4DDD3FA8AD66903CB75F 
D63D2A72EAA672F2BC46901CC460308B 
DF08C8549F14AAE4CAC8FF46640212CA 
F0416E5EF08E2DE12B409F51E42C7A31

Conclusión

Spy Banquero Telax Es Un troyano bancario Que ha Dirigido especificamente a los Usuarios portugueses. Los Autores de malware se estan presionando ACTIVAMENTE Nuevas Versiones de Telax (última versión 4.7) binarios y estan abusando de los Servidores de Google Cloud párrafo albergar la carga útil Para La Infección. ¡No hay Vulnerabilidad explotar hijo Que se utilizan en this Campaña y los atacantes unicamente confiando en la ingeniería social, párr infectar una los Usuarios finales.ThreatLabZ de Zscaler ha Confirmado la Cobertura Para El Programa de Descarga inicial y cargas Útiles Telax, Garantizar la Protección de Las Organizaciones que utilizan la plataforma de Seguridad de Internet de Zscaler. La Investigación Realizada por: Profundizar Desai, Nirmal Singh, Lenart Brave

 

Para estar informado de los últimos artículos, suscríbase:
Comentarios

Ir arriba