La unidad de investigación de amenazas avanzadas de Arkavia Networks, ha identificado a través de sus procesos de búsqueda de nuevas amenazas y malware de día cero, una variante de un troyano bancario dirigido a los usuarios chilenos.
El malware identificado a través de nuestras soluciones de simulación de
amenazas utiliza métodos cada vez más sofisticados, con el objetivo de no ser
detectado en sus actividades de fraude o engaño a los usuarios que navegan en Internet.
En este informe se presenta evidencia del malware que aun no es conocido
por las diversas plataformas de Antivirus, el cual tiene la capacidad de al ser
ejecutado, detectar la navegación del usuario en búsqueda de cualquier
dirección hacia una entidad financiera chilena. Si el usuario navega hasta
estos portales el malware redireccionará el tráfico a través de un proxy ilícito,
por lo que el ciberdelincuente observará y obtendrá cualquier clave de acceso
utilizada en dicho portal.
El malware tiene una programación
avanzada; desde el momento que se ejecuta en el equipo de la víctima se inyecta
en procesos validos del sistema para no ser detectado y se prepara para cuando
el usuario se dirija a sitios web de algún banco.
El malware puede ser distribuido a
través de falsas actualizaciones de navegadores, correos electrónicos, y
descarga de páginas web maliciosas que intentará que el usuario ejecute el
archivo infectado.
RECOMENDACIONES
1.
No descargar actualizaciones de aplicaciones sospechosas
en sitios WEB.
2.
No ejecutar archivos sospechosos.
3.
Mantener actualizados los antivirus.
4.
Bloquear a nivel de plataformas las direcciones
IP, Hashes y URL asociadas al malware.
5.
Validar la dirección del navegador cuando se
accede a sitios web de banca.
6.
Evitar ingresar credenciales o datos si se
observan comportamientos como: “ww.entidad.com”, o un cambio el HTTPS.
7.
Es importante que siempre se muestre dicho
emblema en el sitio web
INDICADORES DE COMPROMISO
Direcciones IP
asociadas al Malware:
1. 95.201.14.235
2. 192.227.248.136
(IP de control de malware)
3. 144.208.127.32
4. 212.247.14.24
Hashes
MD5
5466517c956a0630cd818bda657d4aa3
SHA1 2afbcc360941e58899cf9f7f7a55d18895e5a151
SHA256
5d72c381ea2f565670480d2f49bcc435a3c82b71eeaba32ca9fa3bf168665dbe
URL asociada al
malware:
Archivos asociados:
1. .ZIP
(comprimido)
2. VBS
(Script)
ANÁLISIS
1.
El VBS al ejecutarse obtiene información del
sistema del computador, nombre del equipo, hardware, versiones del BIOS.
Localiza que navegador está instalado en el computador y verifica la cantidad
de memoria para descubrir si se trata de un equipo físico o virtual (por la
cantidad de memoria).
2.
El malware ejecuta un script que redirecciona
las sesiones del navegador.
3.
E el código hace referencia a portales bancarios,
intentando utilizar un proxy sospechoso cada vez que se detecta alguna URL
orientada a banca.
Decodificando el
malware
Se crean procesos nuevos a nivel de Windows.
Se observan las URL detectadas como maliciosas y cargadas a
nivel de memoria.
Detallamos la actividad a nivel
de red, donde podemos evidenciar las direcciones IP expuestas, la descarga del
archivo, el control a nivel de DNS y la ejecución del script en memoria.
En la siguiente gráfica
observamos la ejecución del script en diferentes procesos del sistema operativo
donde se inyecta de forma arbitraria.
El malware descarga 3 archivos para ejecutarse.
El archivo al ejecutarse se elimina del origen intentando de
borrar sus huellas.
Al intentar ingresar a la URL: www.osmelhorespreco.com
podemos evidenciar que intenta descargar una falsa actualización de Chrome,
estilo “Fake Update”.
Proceso
de infección
