13 jun 2012

El engaño del malware brasileño

Que los criminales cada vez usan mas técnicas para que, por parte de los analistas se dificulte el análisis de la muestra no es algo nuevo ¿no?

Hoy os traigo un caso muy típico de un malware brasileño que se baja un fichero hosts modificado y lo pone en lugar del que tenemos en la máquina. Con esto consigue que ciertas páginas (normalmente de categoría bancaria), sean redirigidas a una web con Phishing o malware.

Si capturamos todo lo que el troyano a enviado y recibido, y miramos la captura de Wireshark, “por encima”, la petición con el típico Follow TCP Stream

A simple vista, podemos ver que el Content length es grande, pero no vemos nada. Si nos fijamos, esto acaba aquí, pero…

Si hacemos scroll down..

¿porque ocurre esto?

pues porque el troyano introduce satos de linea, si vemos el archivo en hexadecimal

Este método es usado por los troyanos brasileños, así que si analizáis alguno, acordaros ;)

No hay comentarios:

Publicar un comentario