lunes, 14 de noviembre de 2016

El carding puede infectarte

¿Eres de los que cree que robar tarjetas es algo de pulsar una tecla? Si es así, es posible que el malware que veremos a continuación acabe afectándote.

Se trata de un programa que supuestamente nos permitirá obtener tarjetas de crédito válidas para realizar compras on-line. Lo que englobaríamos dentro del "Carding", es decir, el uso ilegitimo de tarjetas de crédito, o sus números, pertenecientes a otras personas.

Captura del Malware tras pulsar el botón "Connect"

Como siempre nada es lo que parece. El programa en cuestión se nos presenta de la siguiente manera, junto con un botón que nos "da acceso" a la base de datos, y otro que supuestamente comprueba que las tarjetas extraidas de la "base de datos" funcionen. Como podéis imaginar, ninguno de estos dos botones cumple de lejos alguna de estas funciones. 

Una vez pulsado el botón, hará durante un tiempo determinado un falso proceso de conexi, hasta decir que ha fallado:

Falso proceso de conexión remota

Mientras tanto, aprovechará para volcar sin que te des cuenta los archivos maliciosos en tu disco. Claro esta, también añade el ejecutable malicioso al arranque de Windows. 

Volcado de uno de los 3 ejecutables maliciosos

Se comunica con "hxxp://l75qjosx54mue7lv.onion.rip/neutron". Además cuenta con un cliente de SMTP utilizado para el envío de información. 

Información enviada inicialmente al servidor remoto

Entre otras cosas, para hacer pruebas, crea los ficheros necesarios para el envío de correos por SMTP.


Y llegamos a la parte clave... Una de las "features" de este malware es la de keylogger, pero éste solo actúa en determinadas situaciones. Por ejemplo, cuando detecte que se está visitando la página de las siguientes:
  • Amazon
  • Apple
  • Blockchain o Blockchain wallet
  • Coinbase
  • eBay
  • Gamil
  • Localbitcoins
  • OnlineBanking
  • NETELLER
  • PayPal
  • Perfect Money
  • Facebook
  • Yahoo
  • Microsoft / Outlook 

No obstante, el portapapeles si que será copiado en cualquier situación a un archivo instantáneamente.. El objetivo de este malware en concreto, parece ser su propia distribución por e-mail aprovechando la librería que incorpora y al usuario en si, y además el robo de datos de determinados sitios específicos.



En un principio, contaríamos finalmente con los siguientes archivos:
  • %appdata%/Microsoft/Windows/: winhost.exe, taskengine.exe, sys32.exe, EASendMail40.dll, _logWindows, _mailConfig.txt, _mailLetter.txt, _mailList.txt
Así que ya sabes... Ten cuidado con este tipo de herramientas, un solo click puede salir muy caro...  




Fernando Díaz

1 comentario:

  1. El que roba a un ladrón... al que caiga en esto le está bien empleado por chorizo

    ResponderEliminar