quarta-feira, 20 de maio de 2015

Trojan do PuTTY

Como aconteceu recentemente com o FileZilla, o popular software PuTTY, um emulador de terminal Open source, teve partes de seu código modificadas e disponibilizadas em servidores comprometidos.

A versão "trojan" do PuTTY fazia o encode da conexão SSH (como usuário e senha) em Base64 e então enviava-a para hackers russos. Além disso, os hackers utilizavam táticas de SEO para espalhar a ameaça.

Como saber se o PuTTY é legítimo ou malware?
Software malicioso compilado com uma versão diferente do MS Visual C++, apresentando ligeiras modificações na interface e com a build não identificada.

Programa legítimo, mostrando a versão de release.

Outros indicadores do PuTTY comprometido:

Arquivo Windows PE:
MD5 b5c88d5af37afd13f89957150f9311ca
SHA1 51c409b7f0c641ce3670b169b9a7515ac38cdb82
SHA256 d3e866e5bf18f2d9c667563de9150b705813e03377312b6974923f6af2e56291

Domínios:
ngusto-uro.ru MalPuTTY
go-upload.ru StealZilla
aliserv2013.ru StealZilla

Endereço IPV4:
146.185.239.3

User Agent hardcoded:
Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.9.168 Version/11.51

Servidores Web comprometidos:
stc-castelnaudary[.]fr/putty/
holidaystennisclub[.]com/putty/
stonarov.wz[.]cz/putty/
stabryl.home[.]pl/putty/
mohsenfeshari[.]com/putty/
nwedigital[.]com/putty/
kangasquads.com[.]au/putty/
sistemaysoporte[.]es/putty/
straydogwinter[.]com/putty/
snailmailrecall[.]com/putty/
steveacker[.]com/putty/
starsretail[.]com/putty/
podspeak[.]net/putty/
stephensimmer[.]com/putty/
biznetbrokers[.]com/putty/
ofbcorporation[.]com/putty/
spriebel[.]de/putty/
siteweb.olympe[.]in/putty/
yumyums.comcastbiz[.]net/putty/
prfc.com[.]au/putty/
helpmydiabetes[.]info/wp-includes/

May The Source be with You!
Postado por às Nenhum comentário:
Marcadores: , , , , , , , , , ,

segunda-feira, 11 de maio de 2015

Malware brasileiro esconde payload em banco de dados Microsoft SQL

Malware brasileiro que visa roubar senhas de bancos carrega o payload  a partir de uma  base de dados Microsoft SQL Server, em vez de carregar uma URL diretamente.

Código VB.Net que mostra a consulta SQL que faz o download do payload


O malware é distribuído, em geral, por anexos de email ou por links em emails que redirecionam para executáveis maliciosos no Dropbox ou Google Drive.

Estrutura de uma tabela com informações de sessão de máquinas infectadas


O vírus pode capturar informações da tela e do teclado da máquina infectada, bem como informações de versão de sistema operacional, navegador e plugins instalados, podendo, inclusive, desabilitar o plugins GBuster, muito utilizado pelos bancos brasileiros para garantir a segurança dos usuários.

Fonte: https://blogs.mcafee.com/mcafee-labs/brazilian-banking-malware-hides-in-sql-database
Postado por às Nenhum comentário:
Marcadores: , , , , , , ,
Assinar: Postagens (Atom)