/in Articole/by AlexFurtul de date, a devenit una dintre cele mai practicate metode ale celor ce vor să facă bani ilegal. Datele furate pot fi folosite in mai multe moduri, dar in acest articol vom vorrbi despre metoda phishing. Phishing-ul
este o inșelătorie ce are loc in mediul online si se bazează pe
credibilitatea potențialelor victime, dar și pe lipsa de educație in
ceea ce privește siguranța online.
Acesta este un email de tip phishing, ce se presupuna ca vine de la
Paypal si notifica utilizatorul ca exista probleme de securitate, cerând
mai apoi o serie de date pentru “remedierea problemei”.
Din nou pentru credibilitate redirectionează victima spre 2 pagini de
securitate: Un anunț că a fost detectată o activitate anormală pe
contul de Paypal si o formă de confirmare a persoanei din spatele
calculatorului. A 3-a pagină este un fals ce imita calea de acces in contul PayPal, unde se cere adresa de email/ telefon și parola. Dacă
observați in partea de sus a imaginilor apare adresa paginii web… si
clar că nu are legatură cu platforma PayPal, adresa reala fiind:
https://www.paypal.com/
După adaugare datelor de logare victima este direcționată spre alte
pagini in care trebuie sa introducă… cam tot ce are. Aceasta campanie de
phishing fiind una din cele mai complexe din căta am vazut. Asta,
deoarece se atentează datele cartii de credit, datele contului bancar,
date de identificare personală. Prima campanie phishing in care se cere si adaugarea unui al doilea card de credit!
Și pentru a avea garanția că va putea accesa toate aceste cere in
plus datele autentificării de siguranța a contului bancar precum și
datele de logare pe adresa de email. In cazul in care ceva nu merge, să
poată cere acces prin intermediul adresei de email, folosind cartea de
identitate, permisul de conducere, pașaportul sau orice alt act a fost
trimis de victimă.
Se confirmă faptul că (ti-au luat tot) s-a activat protectia contului
si se face redirecționare catre pagian oficială PayPal, unde victima se
loghează si totul o sa pară ok, neștiind că tocmai a dat toate datele
unei persoane ce desfășoară activitați ilegale.
Cam acesta a fost articolul de astăzi. Sper să fie destul de
educativ, incât sa se reducă numărul persoanelor ce devin victime ale
furtului de date, bani, identitate.
Dacă aveți probleme și nu sunteți siguri de anumite email-uri importante, nu ezitați să ne contactați: contact@prodefence.ro
Hai sa incepem cu informatii de baza!
Emotet este un virus din categoria Trojan, care are nevoie de acceptul victimei pentru a isi incepe activitatea in noua gazda. Este
un virus bancar, ce are ca scop extragerea de date personale, pentru ca
hackerul sa poata utiliza contul sau cardul victimei in scopuri
personale.
Daca la inceputuri era trimis prin email ca executabil, sau
atasat(backdoor) anumitor programe “gratuite”, acum trimiterea lui se
face prin intermediul unor documente ce sunt trimise prin email, iar
aceste documente contin o comanda de descarcare si o adresa web, iar
virusul este descarcat de acolo si actionand in noua gazda(pc, mobilr
etc) Aceasta metoda este folosita pentru a pacali atat protectia serviciilor de email, cat si viitoarea victima.
La intrarea virusului, cu acceptul victimei, sansele de scapare
constau doar in posibilitatea de recunoastere a virusului respectiv de
catre antivirus, firewall… in functie de ce are presupusa victima in
dispozitiv.
Dar sa trecem la povestea noastra si o sa facem o mica analiza malware. Zilnic apar liste cu Ip-uri, domenii, dispozitive compromise. Una din aceste liste contine doua domenii de Romania. Se presupune ca sunt controlate de hackeri si folosite pentru a isi gazdui fisierele lor malware.
Accesam adresele si vedem ca ambele contin fisiere .doc. De precizat ca pana aici Antivirusul nu reactioneaza.
Dupa cum se poate observa, fisierele sunt descarcate de pe aceste
domenii de Romania (.ro) si apar ca fiind documente Microsoft Word
97-2003. La
scanare, virusul apare detectat de numai 18 si cei 60 de vendori
prezenti pe platforma. Drept urmare, o mare parte si solutiile antivirus
NU vor reactiona la aparitia virusului in dispozitiv.In aceata varianta, doar aplicatiile celor de mai sus pot identifica virusul.Iata
si motivul detectiei slabe, virusul a fost creat… astazi. Ceea ce
denota ca hackerul vine cu variante “curate” pentru a evita detectia.
Acum, pentru a avea o idee despre ce se intampla… Comanda
documentului arata cam asa: C:\Program Files\Microsoft
Office\Office14\WINWORD.EXE” /n
“C:\Users\admin\AppData\Local\Temp\2050519442433378869714090.doc
Comanda folosita de Powershell este ascunsa si criptata:
Se pot observa domeniile accesate pentru a descarca virusul, dar si comenzile de Download, GET, Item, Start…
Se pare ca intradevar acel document nu este doar ceva de citit, ci
contine comenzi de descarcare a unui fisier care stim ce este, dar poate
fi orice altceva. Mai in detaliu: $Xgmxijlqickli = ‘139’ +$Xgmxijlqickli+’.exe … deci avem un 139.exe, nu? Avem
polc7l care este descris ca fiind ATLUtils Module – adica Active
Template Library si mai exact este chiar fisierul nostru 139.exe.14 din 73… destul de rau pentru posibilele victime!
Acest fisier odata executat, instaleza un alt .exe in dispozitivul victimei(da, deja victima).
Acesta se conecteaza la Ip-ul/host-ul de unde vin toate comenzile hackerului. Virusul in sine preia comenzi date de hacker si le executa la nivel de dispozitiv. Exemple:
se poate raspandi in retea, colecteaza date, trimite date, ataca,
stocheaza date, spioneaza tastatura/camera/monitor etc.
In cazul nostru dispozitivul se conecteaza la adresa http://68.114.229.171/, iar acolo se gaseste acel C&C Panel, adica Panoul de Comanda si Control al atacatorului.
Cam asta ar fi pentru astazi. In concluzie, daca ai o pagina web
sau un server si nu sunt protejate, poti deveni parte activa la
activitatile ilegale ale hackerilor. Deocamdata acest lucru nu este pedepsit, dar… in timp lucrurile se pot schimba! In ceea ce priveste adevarata victima, grija la ce documente accesati, indiferent de la cine credeti ca provin.
Some Russian campaign running
over leaked email spreads different kind of malware. Today on Yahoo mail
has come some fresh Ursnif with 0 detections. | The domain used for my email was inactive and there was no file for download, but I found it somewhere else. In the pictures below will find the research steps: Was easy to find a sample of malware using the SHA256 (d6c0ca87f712c0633eab5ac020ceaad2e256cd3251808ce7c7b45faf4042123e) on Google. The
.zip file is detected and this may be an advantage for the users IF
they are using the Antivirus that have on his database this sample… but
this is another discussion… At this moment the VirusTotal says 18/57.. so is going to be better in a few hours. Now.. extracting them one by one we have a good
encrypted malware named Ursnif (GOZI/ ISFB). This malware is trying to
steal baking credentials from his victims and the hacker may have access
to the system. I will not explain the whole process at this time but the way to do that you will find it on the recent post I’ve made: https://www.prodefence.org/malware-analysis-gozi-ifsb-bank-trojan-aka-ursnif/
Useful links: Urlscan with samples VirusTotal .zip VirusTotal .js VirusTotal .bin
This is the Gozi IFSB malware,
created to steal data & informations from the victims. In the folder
you will see all the files needed to create your own malware server.
For this malware analysis I will use an .bin
found after google search. With this .bin file I will be 2 steps closer
for the analysis. I don’t have the .doc/.pdf file with the payload, but the
.bin is the downloaded file resulted from the payload.
I will transform the .bin file to
infected.exe(10000.exe)!
008c4bd6ee834d113cfc693af0ea90396eaa47e860bcdd567ffd964b57434e1d.bin
MD5: e6d118192fc848797e15dc0600834783
SHA1: 16d5ded68677f4a870423d3fd30da8377a5b2408
Let’s go to security manipulation and creation
of the malware on the system. The $LN33 it is exported by the executable, after
that will jump to C Runtime Library.
Calling the security_init_cookie for buffer overrun protection to comprommise the system security. Let’s run the infected file to see his actions!
I see that the explorer.exe has some activiti. Cyber security – Malware analysisThere I have some movements… let’s go to
\Roaming\MIcrosoft\ to see the new folder created ‘BthM300C’. An executable(the same .exe with diffrerent
name) created in new folder after runed the infected.exe / D3DCsapi.exe aka
1000.exe The Registry. Prodefence SRLNow… the explorer.exe.
24 .dll are suspicious.
That means some of them are from the injection
process. explorer.exe (2304) – 52074 – 166.124.148.146.bc.googleusercontent.com.
This is an Google Cloud Platform and the
explorer.exe has some connections there. genesisgrandergh.at