Hace algún tiempo escribí un artículo
sobre el funcionamiento de los troyanos bancarios brasileños, pero el
tiempo corre y los programadores brasileños siguen mejorando sus trucos y
creando métodos de infección cada vez más complejos. Prueba de ello es
una muestra en la que estuve trabajando ayer. El método de infección es
bastante tradicional:
Un mensaje fraudulento con
enlaces a fotografías falsas ----> Descarga y ejecución del
Trojan.Downloader inicial ----> Descarga e instalación de Troyanos
bancarios
Lo novedoso (para Brasil) está entre la segunda y
tercera etapa, cuando el Trojan.Downloader descarga e instala el
troyano bancario. Los programadores brasileños ofuscan los enlaces de
descarga utilizando varias técnicas y codifican el troyano bancario para
descargarlo al sistema.
Por ejemplo, si se desofuscan los enlaces
maliciosos y se intenta descargar los troyanos que esconden, se verá
algo así:
Es un archivo ejecutable portátil (PE)
codificado (empaquetado de forma especial). Los programadores de Brasil
utilizan esta técnica para evitar que las empresas antivirus analicen y
vigilen de forma automática sus creaciones. Si se descarga esta muestra
en el servidor, no funcionará a no ser que se la decodifique. El
mecanismo de decodificación en este caso esta incluido en el
Trojan.Downloader inicial, que descarga el programa malicioso en primera
instancia y después lo decodifica para poder infectar el ordenador de
la víctima:
Ahora mira la diferencia: es el mismo
archivo, pero tras decodificarlo parece un clásico archivo PE y se puede
utilizar para infectar a la víctima:
Kaspersky Lab detecta esta muestra en
particular como Trojan-Banker.Win32.Banker.aumz
Este programa ataca a los usuarios de los tres bancos más grandes de
Brasil.
Autor:
Dmitry Bestúzhev
Fuente:
Viruslist
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!