Descripción del keylogger Remcos de hoy, que modifica el HOSTS de algunos bancos

Descripción del keylogger Remcos de hoy

Se trata de un modificador del HOSTS que cambia las URL de muchos bancos de manera que cuando se quiere acceder a uno, lleva a una URL maliciosa que es un phishing del banco donde pretendemos apuntar

El causante del estropicio es este malware, que modifica el HOSTS, es un fichero oculto, con atributos S, H y R, sito en:

%Datos de Programa%\ AppData\ windowsupdater.exe (+s+h+r)

El cual pasamos a controlar a partir del ELISTARA 40.95 de hoy, asi como pasamos a anular lo indicado en el HOSTS si el usuario pulsa en una de las URL maliciosas, cambiandola por la 127.0.0.1 (LOCAL HOSTS)

Las URL de los bancos afectados, son las siguientes:

185.35.137.145 www.bmo.ca
185.35.137.145 www1.bmo.com
185.35.137.151 tangerine.com
185.35.137.151 www.tangerine.ca
185.35.137.144 atbonline.com
185.35.137.147 accweb.mouv.desjardins.com
185.35.137.149 www.rbc.com
185.35.137.146 www.cibconline.cibc.com
185.35.137.146 www.cibc.com
185.35.137.151 www.tangerine.com
185.35.137.147 www.accweb.mouv.desjardins.com
185.35.137.145 bmo.ca
185.35.137.152 vancity.com
185.35.137.151 tangerine.ca
185.35.137.145 www1.bmo.com/onlinebanking/cgi-bin/netbnx/NBmain
185.35.137.150 www.scotiabank.ca
185.35.137.150 www.scotiabank.com
185.35.137.150 scotiabank.com
185.35.137.148 banking.meridiancu.ca
185.35.137.149 rbcroyalbank.com
185.35.137.146 cibc.com
185.35.137.149 rbc.com
185.35.137.148 www.banking.meridiancu.ca
185.35.137.150 scotiabank.ca
185.35.137.148 meridiancu.ca
185.35.137.145 www.bmo.com
185.35.137.152 www.vancity.com
185.35.137.146 cibconline.cibc.com
185.35.137.149 www.rbcroyalbank.com
185.35.137.148 www.meridiancu.ca
185.35.137.151 www.tangerine.ca
185.35.137.150 www.scotiaonline.scotiabank.com
185.35.137.144 www.atbonline.com
185.35.137.144 atbonline.com
185.35.137.146 cibconline.cibc.com
185.35.137.152 vancity.com
185.35.137.145 www.bmo.ca
185.35.137.145 bmo.ca
185.35.137.147 accweb.mouv.desjardins.com
185.35.137.147 www.accweb.mouv.desjardins.com
185.35.137.149 rbc.com
185.35.137.149 www.rbcroyalbank.com
185.35.137.145 www1.bmo.com/onlinebanking/cgi-bin/netbnx/NBmain
185.35.137.150 scotiaonline.scotiabank.com
185.35.137.152 www.vancity.com
185.35.137.150 scotiabank.ca
185.35.137.145 www.bmo.com
185.35.137.148 meridiancu.ca
185.35.137.146 cibc.com
185.35.137.146 www.cibc.com
185.35.137.148 banking.meridiancu.ca
185.35.137.150 www.scotiabank.com
185.35.137.148 www.meridiancu.ca
185.35.137.149 rbcroyalbank.com
185.35.137.151 tangerine.com
185.35.137.145 bmo.com
185.35.137.151 tangerine.ca
185.35.137.146 www.cibconline.cibc.com
185.35.137.149 www.rbc.com

cambiandolas por la 185.35.137.xxx que es la de cada phishing del banco correspondiente, y aparte de ello hace de keylogge, como REMCOS que es!

El preanalisis de virustotal ofrece el siguiente informe>

 

Cuidado con ello, que nos quieren llevar al huerto !

saludos

ms, 25-3-2019

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies