Detectado nuevo troyano bancario que afecta a varias entidades bancarias. (Análisis del troyano 1ª parte)
Detectado nuevo troyano bancario que afecta a varias entidades bancarias. (Análisis del troyano 1ª parte)
Tras el análisis de varios correos “Honeypots” sistema de detección de intrusos basado en señuelos -en realidad no seria la definición exacta al tratarse de un cuenta de correo electrónico -. Para la detención de correos fraudulentos, con los que cuenta la Comisión de Seguridad de la Asociación de Internautas se pudo detectar un nuevo caso de tarjeta falsa que contiene un troyano bancario. En el siguiente artÃculo se realiza un análisis del troyano bancario hasta encontrar los posibles receptores de los datos robados, a los bancos afectados.
Advertencia; Por motivos de seguridad de omiten algunos datos.
La recepción de este troyano bancario se produce tras recibir un correo electrónico que simula ser una llamativa tarjeta de un pequeño cachorro,
Si pulsamos sobre la imagen o el enlace se produce la descarga de un fichero ejecutable,
Analizamos el servidor comprobamos que hay dos ficheros ejecutables, esto es debido porque la descarga se hace de forma aleatoria dependiendo el navegador usado,
Lo ficheros localizados se llaman; Ocarteiro.exe y amizade.exe ambos de 43,5 KB (44.544 bytes)
Comprobamos los ficheros y vemos que están comprimidos con “PECompact” (compresor de ficheros EXE, COM y DLL) , los descomprimimos para continuar el análisis sin tener que ejecutarlos (el análisis también se puede realizar con una análisis exhaustivo forense, pero no es necesario), vemos que este troyano es de la familia downloader (troyano que hace una descarga de otro programa mas potente),
Encontramos los nuevos pasos que dará el troyano y su nueva descarga, pero antes el troyano hace visita a una web para que el usuario no se crea que es una trampa,
El troyano hace una nueva descarga silenciosa y ejecución del nuevo fichero, realizamos otro análisis en el nuevo servidor y detectamos varios ficheros,
Los ficheros son; internet.exe y static.exe de 1,08 MB (1.135.104 bytes)
Ambos ficheros están comprimidos al descompilarlo se quedan en un tamaño de 9,36 MB (9.820.160 bytes) cada uno, lo primero que intentamos es comprobar su acción y no es mas que suplantar en nuestro navegador las web de distintas entidades bancarias y luego mandar los datos robados por correo electrónico, ejemplos de entidades suplantadas:
Pero lo mas importante de este análisis es saber donde van los datos obtenidos, pronto encontramos resultados.
Los correos electrónicos detectados son;
infochega2@gmail.com - novaera.lima@gmail.com - vamoconta2@gmail.com - empresa.r0x@gmail.com - timotio.lima@gmail.com
En el próximo articulo explicaremos como funciona este tipo de troyanos cuando infecta a una victima.
Si usted recibe un correo de un extraño, un correo no deseado, incluso este tipo de tarjetas les recomendamos la máxima prudencia y si es posible no haga caso de este tipo de correos electrónico y NUNCA pulsar sobre los enlaces que contiene.
La mayorÃa de los antivirus no detecta este tipo de ficheros malware.
Comisión de Seguridad en la Red.
José MarÃa Luque Guerrero
http://seguridad.internautas.org - www.seguridadenlared.org - www.seguridadpymes.es
Asociación de Internautas. www.internautas.org
II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED
El Instituto Nacional de TecnologÃas de la Comunicación (INTECO), la Asociación de Internautas, Panda Software, Telefónica, Orange, Comfia-CCOO y ONO lanzan la "II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED" www.seguridadenlared.org/.La misma se desarrollará desde el 15 de marzo hasta el lunes 9 de mayo de 2007
La recepción de este troyano bancario se produce tras recibir un correo electrónico que simula ser una llamativa tarjeta de un pequeño cachorro,
Si pulsamos sobre la imagen o el enlace se produce la descarga de un fichero ejecutable,
Analizamos el servidor comprobamos que hay dos ficheros ejecutables, esto es debido porque la descarga se hace de forma aleatoria dependiendo el navegador usado,
Lo ficheros localizados se llaman; Ocarteiro.exe y amizade.exe ambos de 43,5 KB (44.544 bytes)
Comprobamos los ficheros y vemos que están comprimidos con “PECompact” (compresor de ficheros EXE, COM y DLL) , los descomprimimos para continuar el análisis sin tener que ejecutarlos (el análisis también se puede realizar con una análisis exhaustivo forense, pero no es necesario), vemos que este troyano es de la familia downloader (troyano que hace una descarga de otro programa mas potente),
Encontramos los nuevos pasos que dará el troyano y su nueva descarga, pero antes el troyano hace visita a una web para que el usuario no se crea que es una trampa,
El troyano hace una nueva descarga silenciosa y ejecución del nuevo fichero, realizamos otro análisis en el nuevo servidor y detectamos varios ficheros,
Los ficheros son; internet.exe y static.exe de 1,08 MB (1.135.104 bytes)
Ambos ficheros están comprimidos al descompilarlo se quedan en un tamaño de 9,36 MB (9.820.160 bytes) cada uno, lo primero que intentamos es comprobar su acción y no es mas que suplantar en nuestro navegador las web de distintas entidades bancarias y luego mandar los datos robados por correo electrónico, ejemplos de entidades suplantadas:
Pero lo mas importante de este análisis es saber donde van los datos obtenidos, pronto encontramos resultados.
Los correos electrónicos detectados son;
infochega2@gmail.com - novaera.lima@gmail.com - vamoconta2@gmail.com - empresa.r0x@gmail.com - timotio.lima@gmail.com
En el próximo articulo explicaremos como funciona este tipo de troyanos cuando infecta a una victima.
Si usted recibe un correo de un extraño, un correo no deseado, incluso este tipo de tarjetas les recomendamos la máxima prudencia y si es posible no haga caso de este tipo de correos electrónico y NUNCA pulsar sobre los enlaces que contiene.
La mayorÃa de los antivirus no detecta este tipo de ficheros malware.
Comisión de Seguridad en la Red.
José MarÃa Luque Guerrero
http://seguridad.internautas.org - www.seguridadenlared.org - www.seguridadpymes.es
Asociación de Internautas. www.internautas.org
II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED
El Instituto Nacional de TecnologÃas de la Comunicación (INTECO), la Asociación de Internautas, Panda Software, Telefónica, Orange, Comfia-CCOO y ONO lanzan la "II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED" www.seguridadenlared.org/.La misma se desarrollará desde el 15 de marzo hasta el lunes 9 de mayo de 2007