23 feb 2023

Campaña de #phishing distribuyendo troyano bancario en América Latina

El método de propagación de esta amenaza se realiza principalmente por medio de correos de phishing intentando suplantar a diferentes instituciones y utilizando pretextos como facturas, recibos, comunicados judiciales de varios países (Argentina, México, etc).

En esta campaña, denominada Appaloosa por la empresa SCILabs, los archivos descargados varían pero en general se  trata de un archivo PDF el cual intenta suplantar a una organización conocida, por ejemplo la Comisión Federal de Electricidad (CFE) en México o AFIP en Argentin. La campaña utiliza un recibo de pago o factura como pretexto. En general se trata de la distribución de troyanos como URSA/Mispadu (Troyano Bancario), Grandoreiro (Troyano Bancario), y Banload (Dropper).

El objetivo principal de esta amenaza es robar información bancaria de múltiples instituciones financieras de clientes ubicados en Argentina, México, Estados Unidos y Portugal. Sin embargo, con base en el monitoreo de la región, existe la posibilidad de que en un futuro cercano intenten robar información de instituciones financieras con presencia en otros países, tanto de LATAM, como de otros lugares en el mundo.

Teniendo en cuenta que la campaña aparentemente aún se encuentra en desarrollo, el objetivo de este documento es presentar toda la información disponible hasta el momento, para permitir a las organizaciones identificar y reconocer de manera preventiva el comportamiento de este troyano bancario, así como sus TTPs e IoCs, con el fin de evitar ser víctima de esta amenaza.

El objetivo principal del malware, es robar información bancaria de múltiples entidades financieras de todo tipo de usuarios, incluidos los empleados de las organizaciones.

Red Appaloosa fue observada por SCILabs durante la primera semana de enero del 2023 y ha sido monitoreada desde noviembre del 2022.

La distribución del malware comienza a través de correos electrónicos de phishing que contienen URLs y/o archivos PDF o HTML adjuntos, con pretextos variados, relacionados con el cobro de facturas, vigencia de derechos, comprobantes fiscales digitales y recibos de pago, entre otros.

El propósito del PDF es redirigir a la víctima a un sitio web para descargar un archivo comprimido con formato ZIP, el cual contiene un EXE con un tamaño mayor a los 300MB. Al ejecutarlo se despliega en pantalla la validación de un CAPTCHA, una vez resuelto, comienzan las siguientes etapas del malware.

Posterior a la validación del CAPTCHA, comienza también la descarga de un archivo en formato MPEG, aunque tiene la apariencia de un video, este artefacto en realidad es un archivo comprimido, el cual tiene dentro 2 directorios, un instalador y 3 DLLs (una de ellas maliciosa y superior a los 500MB).

Finalmente, intenta comunicarse con su servidor de comando y control, y comienza a esperar que el usuario ingrese al portal de su banco para robar su información bancaria. A continuación, se muestra el flujo del ataque:

El peligro de esta amenaza radica en que es un troyano bancario que está tomando los "mejores y más efectivos" TTPs de otras amenazas que afectan a LATAM y los está utilizando en su cadena de infección, para tener un mayor porcentaje de éxito en sus ataques, debido a que la campaña está diseñada para retrasar los análisis de los investigadores, evadir soluciones de seguridad (que sólo pueden analizar artefactos menores a 100MB), evadir soluciones de seguridad que ejecutan automáticamente las muestras para determinar si son o no maliciosas, y evadir soluciones de seguridad que sólo monitorean la creación de procesos maliciosos pero no monitorean procesos legítimos que podrían cargar una DLL maliciosa en memoria.

La empresa SCILabs de México está monitoreando esta amenaza para dar contexto sobre los nuevos hallazgos.

Fuente: SCILabs

Suscríbete a nuestro Boletín

1 comentario:

  1. Si me llego una muestra y la analize su comportamiento, pero no realizo conexion ni descarga del servidor, lo analize con IDA y con Depends, sospechaba por los dinamicos que tenia, pero en efecto es un malware parece peligroso, pero tiene defectos, no creo que sea tan peligroso porque usa recursos ya conocidos, nada nuevo que un antivirus no detecte en su 2da fase, en cambio el primer ejecutable si hasta el momento es indetectable, tal ves su gran tamaño de 300mb sea su posibilidad de tratar de esconder entre tantos ensamble el codigo real, y la dificultar de analizarlo rapidamente, o de muestras, para quien le llego, nunca deben ejecutar NINGUN exe menos de los emails, si creen que se infectaron sera mas barato formatear la pc y iniciar todo de nuevo a la preocupacion que te roben cuenas bancarias, recomiendo instalar programas mas dedicadas al Malware que otros conocidos como Antivirus, pero lo mejor es ser precavido.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!