Phishing masivo y robo de información en un solo troyano
Fuente: http://www.pandasoftware.es/
Partiendo de Downloader.CYZ, ejemplares de malware distintos participan en una sucesión de acciones que roban todo tipo de información confidencial del usuario.
PandaLabs ha detectado una dirección web preparada para llevar a cabo un complejo ataque combinado en el que participan hasta varios ejemplares de malware distintos. El mayor peligro de este ataque es que se inicia tan sólo con la visita a una determinada dirección de Internet, preparada para aprovechar posibles vulnerabilidades en el equipo del usuario que se encuentre conectado a dicha dirección.
En caso de que el usuario se conecte a dicha dirección, lo que verá será un código javascript codificado que, en realidad, constituye una forma de ocultar otro código que por medio de diversas vulnerabilidades y objetos diseñados a tal efecto, en caso de ser exitosa, resulta en la descarga en el sistema de Trj/Downloader.CYZ.
Cuando éste se ejecuta, intenta otorgarse a sí mismo el privilegio de depurar (debug) otros programas, con esto podría, entre otras cosas, terminar procesos, crear hilos de ejecución remotos… Posteriormente se autocopia en %temp%\sstchst.exe y se ejecuta, borrando el fichero inicial. Además, intenta descargar y ejecutar dos ficheros desde otras tantas direcciones web, file1.exe y file2.exe, que contienen dos códigos maliciosos, Trj/Banker/VY y Trj/Dumarin.L, y que guardará en el sistema. El troyano posee también la capacidad de cerrar ventanas normalmente asociadas a avisos de seguridad, de modo que el usuario no pueda visualizarlas y advertir el peligro. En cada infección, Downloader.CYZ se conecta a una web que parece ser un contador del número de infecciones.
Por su parte, Trj/Banker/VY se copia en el sistema con el nombre nbthlp.exe, creando una entrada en el registro de Windows para ejecutarse cada vez que se reinicie el sistema. Sin embargo, la peligrosidad de este troyano reside en que está diseñado para interceptar la información que el usuario introduce cuando se conecta a páginas web correspondientes a un gran número de entidades financieras de todo el mundo.
Para llevar esto a cabo, emplea un curioso método, que consiste dos acciones:
- Por un lado, lanza una petición DNS para resolver un dominio, del que obtiene direcciones cientos de réplicas falsas de páginas web de bancos, con el objeto de llevar a cabo ataques de phishing. Seguidamente, modifica el fichero HOSTS creando cientos de entradas que corresponden a las entidades bancarias que desea controlar, de modo que cuando el usuario solicite dichas páginas, se le presenten aquellas réplicas cuyas direcciones acaba de conseguir.
- Por otro lado, el troyano posee una lista de cadenas de caracteres detalladas en su código, agrupadas por entidad bancaria: en caso de que el usuario introduzca alguna combinación de estas cadenas de caracteres, será redirigido a una nueva web falsa simulando ser su banco, para llevar a cabo la estafa.
La motivación que se puede esconder detrás de esta sofisticación del phishing son evitar el problema de las direcciones variables, de modo que no son abarcables por medio de una simple modificación del fichero HOSTS. De este modo, si todas las direcciones variables poseen una parte común, también podrán ser atacadas.
Por otra parte, Trj/Dumarin.L deposita una serie de ficheros en el ordenador afectado, con una función específica en cada caso:
- Uno de los ficheros, detectado a su vez como Trj/MiniLD.C, se inyecta en todos los procesos del sistema, permitiendo que Dumarin.L inspeccione los títulos de determinadas ventanas y en función de ellos, capture información y la escriba en un fichero de log.
- El segundo de los ficheros es indicador de la máquina
- El tercero de los ficheros salva la información depositada por el usuario en el portapapeles.
- Finalmente, un cuarto contiene la funcionalidad backdoor, que permite que el troyano reciba órdenes por control remoto. Además, con el fin de evitar firewalls orientados a procesos, Dumarin.L crea un proceso Internet Explorer hijo, en el que se inyecta y a través del cual escucha.
Toda la información recolectada la va recogiendo en un directorio temporal, que posteriormente envía a un servidor remoto. En el momento de escribir estas líneas, dicha información superaba los 20MB, y contiene información muy confidencial que permitiría a cualquier persona acceder a las cuentas online de bancos, Skype, MS Passport, webmail...
Según Luis Corrons, director de PandaLabs: “Si algo destaca en este ataque es lo cuidado que está, tanto en lo referente al troyano Banker.VY, que vigila un gran número de webs de entidades bancarias y las falsea de forma convincente, lo que implica un exhaustivo trabajo de investigación por parte del creador, como por parte de Dumarin.L, capaz de robar información de un gran número de aplicaciones diferentes, de las que puede obtener beneficio. Parece claro que, cada vez más, los desarrolladores de malware apuestan por vivir económicamente de sus creaciones”.
Partiendo de Downloader.CYZ, ejemplares de malware distintos participan en una sucesión de acciones que roban todo tipo de información confidencial del usuario.
PandaLabs ha detectado una dirección web preparada para llevar a cabo un complejo ataque combinado en el que participan hasta varios ejemplares de malware distintos. El mayor peligro de este ataque es que se inicia tan sólo con la visita a una determinada dirección de Internet, preparada para aprovechar posibles vulnerabilidades en el equipo del usuario que se encuentre conectado a dicha dirección.
En caso de que el usuario se conecte a dicha dirección, lo que verá será un código javascript codificado que, en realidad, constituye una forma de ocultar otro código que por medio de diversas vulnerabilidades y objetos diseñados a tal efecto, en caso de ser exitosa, resulta en la descarga en el sistema de Trj/Downloader.CYZ.
Cuando éste se ejecuta, intenta otorgarse a sí mismo el privilegio de depurar (debug) otros programas, con esto podría, entre otras cosas, terminar procesos, crear hilos de ejecución remotos… Posteriormente se autocopia en %temp%\sstchst.exe y se ejecuta, borrando el fichero inicial. Además, intenta descargar y ejecutar dos ficheros desde otras tantas direcciones web, file1.exe y file2.exe, que contienen dos códigos maliciosos, Trj/Banker/VY y Trj/Dumarin.L, y que guardará en el sistema. El troyano posee también la capacidad de cerrar ventanas normalmente asociadas a avisos de seguridad, de modo que el usuario no pueda visualizarlas y advertir el peligro. En cada infección, Downloader.CYZ se conecta a una web que parece ser un contador del número de infecciones.
Por su parte, Trj/Banker/VY se copia en el sistema con el nombre nbthlp.exe, creando una entrada en el registro de Windows para ejecutarse cada vez que se reinicie el sistema. Sin embargo, la peligrosidad de este troyano reside en que está diseñado para interceptar la información que el usuario introduce cuando se conecta a páginas web correspondientes a un gran número de entidades financieras de todo el mundo.
Para llevar esto a cabo, emplea un curioso método, que consiste dos acciones:
- Por un lado, lanza una petición DNS para resolver un dominio, del que obtiene direcciones cientos de réplicas falsas de páginas web de bancos, con el objeto de llevar a cabo ataques de phishing. Seguidamente, modifica el fichero HOSTS creando cientos de entradas que corresponden a las entidades bancarias que desea controlar, de modo que cuando el usuario solicite dichas páginas, se le presenten aquellas réplicas cuyas direcciones acaba de conseguir.
- Por otro lado, el troyano posee una lista de cadenas de caracteres detalladas en su código, agrupadas por entidad bancaria: en caso de que el usuario introduzca alguna combinación de estas cadenas de caracteres, será redirigido a una nueva web falsa simulando ser su banco, para llevar a cabo la estafa.
La motivación que se puede esconder detrás de esta sofisticación del phishing son evitar el problema de las direcciones variables, de modo que no son abarcables por medio de una simple modificación del fichero HOSTS. De este modo, si todas las direcciones variables poseen una parte común, también podrán ser atacadas.
Por otra parte, Trj/Dumarin.L deposita una serie de ficheros en el ordenador afectado, con una función específica en cada caso:
- Uno de los ficheros, detectado a su vez como Trj/MiniLD.C, se inyecta en todos los procesos del sistema, permitiendo que Dumarin.L inspeccione los títulos de determinadas ventanas y en función de ellos, capture información y la escriba en un fichero de log.
- El segundo de los ficheros es indicador de la máquina
- El tercero de los ficheros salva la información depositada por el usuario en el portapapeles.
- Finalmente, un cuarto contiene la funcionalidad backdoor, que permite que el troyano reciba órdenes por control remoto. Además, con el fin de evitar firewalls orientados a procesos, Dumarin.L crea un proceso Internet Explorer hijo, en el que se inyecta y a través del cual escucha.
Toda la información recolectada la va recogiendo en un directorio temporal, que posteriormente envía a un servidor remoto. En el momento de escribir estas líneas, dicha información superaba los 20MB, y contiene información muy confidencial que permitiría a cualquier persona acceder a las cuentas online de bancos, Skype, MS Passport, webmail...
Según Luis Corrons, director de PandaLabs: “Si algo destaca en este ataque es lo cuidado que está, tanto en lo referente al troyano Banker.VY, que vigila un gran número de webs de entidades bancarias y las falsea de forma convincente, lo que implica un exhaustivo trabajo de investigación por parte del creador, como por parte de Dumarin.L, capaz de robar información de un gran número de aplicaciones diferentes, de las que puede obtener beneficio. Parece claro que, cada vez más, los desarrolladores de malware apuestan por vivir económicamente de sus creaciones”.
