Pular para o conteúdo principal

Overlay RAT Malware (Chile)

Novo malware bancário sendo disseminado através de phishing em nome da TGR - Tesorería General de la República do Chile. O Malware trata-se de um overlay RAT com direcionamento aos clientes de Bancos do Chile.

·         Banks of List:
§  Itau
§  Santander
§  BCI
§  BCI (Empresas)
§  BBVA
§  Banco de Chile
§  Scotiabank
§  BCP
§  Banco Internacional
§  Banco BICE
§  Banco Estado
§  Interbank
§  Banco Security

Campaing Overview

Spam/Phishing

A porta de entrada do ataque consiste no envio de um e-mail malicioso contendo uma URLs para o download de um arquivo .msi. Esse arquivo tem como função baixar todos arquivos utilizados para infectar a máquina da vítima como também criar uma persistência para executar automaticamente na inicialização do sistema operacional.
Técnicas MITRE atualmente observadas:
·         T1192 - Spearphishing Link

Pre-infect

Assim que o arquivo .msi é executado, um processo do msiexec.exe é iniciado para realizar o download dos arquivos necessários para infectar a máquina.
Esse arquivo trata-se de um .zip que estava hospedado no site da prefeitura do município de Suzano do estado de São Paulo.
suzano.sp.gov.br

Técnicas MITRE atualmente observadas:
·         T1218 - Signed Binary Proxy Execution

Pos-infect

Na finalização do processo do arquivo .msi, o mesmo extrai os arquivos do .zip e altera o nome e extensão de cada um deles. Identificamos que trata-se de três arquivos, sendo um deles o exe do AutoIt, outro um script (.a3x) para o autoit e o último uma dll maliciosa onde encontra-se todos os overlay utilizados para enganar a vítima.
Os arquivos do malware ficam em uma pasta nomeada randomicamente dentro do diretório: %APPDATA%\Roaming

Persistence

Para manter a persistência no sistema operacional, o malware cria um .lnk na pasta Startup (%APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8Nm3yJpC.lnk) para que o malware seja executado sempre que houver uma inicialização do sistema.
Esse atalho possui um comando para executar o .exe do AutoIt seguido como parâmetro do script e a dll.

LNK target:
%APPDATA%\Roaming\qFFZtzou9GL57DB0J60NE200NG9AI14CDIC1H9\XNS5543D.exe %APPDATA%\Roaming\\qFFZtzou9GL57DB0J60NE200NG9AI14CDIC1H9\FAwF2iJG %APPDATA%\Roaming\\qFFZtzou9GL57DB0J60NE200NG9AI14CDIC1H9\fSXFQdPP.dll
O executável do AutoIt, daqui por diante, será utilizado para capturar os dados da vítima e encaminha-los para o fraudador.
Técnicas MITRE atualmente observadas:
·         T1060 - Registry Run Keys / Startup Folder

MITRE ATT&CK Techniques

 A tabela abaixo contém MITRE Attack techniques, clicando no número da técnica é feito um redirecionamento para o site do Mitre e clicando no nome da técnica é feito um redirecionamento para o site Atomic Red Team.
Tactics
Techniques
Command-And-Control
T1094 Custom Command and Control Protocol
Persistence
T1060 Registry Run Keys / Startup Folder
Initial-Access
T1192 Spearphishing Link
Defense-Evasion
T1218 Signed Binary Proxy Execution
Execution
T1218 Signed Binary Proxy Execution
Collection
T1113 Screen Capture

IOCs

URLs

hXXp://www.suzano.sp[.]gov.br/refis/download/tf40a.tcb (Download pos-infect)
hXXps://www.filesdocuments[.]com/hooponopono1/brume.php (Victims counter)
hXXps://www.filesdocuments[.]com/hooponopono1/puta.log  (Victims counter log)

C2

23.108.57.34

Files

Filename: aviso-cl.msi
MD5: 9b395c04faede8689cd816b5bc5d2063
SHA1: d2e40021112950e37e8d665034e0ac870d036b84
SHA256: 639abaee2952de65869a565af697d1c424b178d159f96cfb22f1e5f38d2f1d5d
 
Filename: FAwF2iJG
MD5: ee97b54e9b768766abe887c611a8bd93
SHA1: f61a155665b745683a34c5b73c33e25782edd00b
SHA256: f0cc5a98ce0bf78852364aecc44b2dd42a2d2354fa92faed0c6a0eb0f60cc2a7
 
Filename: fSXFQdPP.dll
MD5: 8e57916ce8a6706b6ee0e441c6af0396
SHA1: ea1f63e526ba857e56ae04f3f8904bfa6f9952bb
SHA256: c1f9e2ba50770bb2848f50a56896fe793086014ba1a8698526058500246b66ab
 
Filename: XNS5543D.exe
MD5: b06e67f9767e5023892d9698703ad098
SHA1: acc07666f4c1d4461d3e1c263cf6a194a8dd1544
SHA256: 8498900e57a490404e7ec4d8159bee29aed5852ae88bd484141780eaadb727bb
 
Filename: tf40a.tcb
MD5: eec9ea31231d1e1830f7632be3dd0488
SHA1: 8dbfc08629c2db89a64d7ce0aa09c72b55d34c63
SHA256: 9cb4f11d3ec3797fa885f33875f0a67b7d47d82cb3e2bfb3d3935b451e01c2e8
 
Filename: tf40b.tcb
MD5: 79246f37ff46eb60d8fb46bafa68145f
SHA1: f2ae6adf24b7fcc0e3827479b4ac4aaf97416083
SHA256: 03c21a38e5ff3f0b27f95948dfcd00527d8671285d5ac0659815aa34391967c9

Overlay (Images)














Postagens mais visitadas deste blog

Tutorial: Consultas LDAP no Active Directory

Hoje será mostrado como fazer Consultas Salvas (Saved queries) e alguns exemplos: 1. No Active Directory Users and Computers, click com o botão direito no item Saved Queries e selecione New e depois Query. 2. Digite o nome para a Query, por exemplo: “Usuários Ativos” e coloque uma descrição e depois clic em Define Query. 3. Na drop-down box Find selecione Custom Search e então click em Advanced tab. 4. Digite uma das Queries e execute. Consultas de Usuarios Usuarios sem grupo (apenas domain users): (&(objectCategory=user)(objectClass=user)(!memberOf=*)) Usuarios sem e-mail (objectcategory=person)(!mail=*) Usuarios com e-mail (objectcategory=person)(mail=*) Usuarios que nunca fizeram logon no dominio (&(&(objectCategory=person)(objectClass=user))(|(lastLogon=0)(!(lastLogon=*)))) Usuários Criados depois de 09/10/2011 (objectCategory=user)(whenCreated>=20111009000000.0Z) Obs: troque o data por uma data da sua necessidade Usuários que precisam mudar a sen
Postar um comentário
Leia mais

Expandindo o disco no CentOS 7

Início: Neste tutorial, vamos expandir o disco do sistema CENTOS 7 , através do LVM ( Logical Volume Manager ), via SSH. Procedimentos de expansão:  1 ) Dentro do sistema, confira se o disco realmente foi adicionado com o comando fdisk -l , conforme imagem abaixo : O valor padrão é de 40GB, como mostrado acima o disco esta com 85GB, comprovando que o upgrade foi feito. 2 ) Após verificar que a partição está com o valor desejado, vamos reparar o sistema de blocos, para posteriormente seguir com a expansão, para isto, utilize o comando parted -l , e digite Fix nas perguntas seguintes de acordo com a tela abaixo: 3) Após ele finalizar as correções do sistema, vamos iniciar o assistência de extensão do disco, utilizando o comando fdisk /dev/sda 4) Dentro da tela de configuração, digite os endereços conforme passado abaixo: Command ( m for help ): n (Letra N * Minuscula) Partition Number (1-4, default 1): 4 (Se por acidente digitar um endereço diferente, e
Postar um comentário
Leia mais

Instalação de Servidor TFTP em Ambiente CentOS

INTRODUÇÃO Um servidor TFTP é útil em pelo menos duas situações: Manipulação de arquivos em ativos de rede, como por exemplo, atualização de firmware, backup e restore de configuração; Manter um backup de seus ativos de rede centralizados em um único diretório, que posteriormente vai para a unidade de fita, claro. A primeira situação é bem comum, mas poucos se preocupam com a segunda situação, então fique com ela na mente, pense sobre isso enquanto toma banho (já resolvi tantos problemas pensando durante o banho),  eu voltarei nesse ponto em outro post. PONTO DE PARTIDA Eu parto do princípio que você já possui um Servidor CentOS 7 Básico. INSTALAÇÃO DOS PACOTES # yum  -y install  tftp-server xinetd ATIVAR O SERVIÇO # systemctl enable tftp.socket CONFIGURAÇÃO DAS PERMISSÕES # chown -R nobody:nobody /var/lib/tftpboot/ # chmod 777 /var/lib/tftpboot/ PERSONALIZAÇÃO DO ARQUIVO DE CONFIGURAÇÃO # vi /etc/xinetd.d/tftp service tftp {         disable                 =
Postar um comentário
Leia mais