Canal de Telegram

20 mar 2023

Segu-Info » , » Troyano #Mekotio / Bizarro se expande por América Latina y Europa

Troyano #Mekotio / Bizarro se expande por América Latina y Europa

20 mar 2023, 8:44:00 a.m.   Comenta primero!
  ,  

Mekotio o Bizarro o Ulise es otra familia de troyanos bancarios originaria de Brasil, la cual ahora también se encuentra en otras regiones del mundo. Hemos identificado usuarios que han sido atacados por Bizarro en España, Portugal, Francia e Italia. Su objetivo es robar las credenciales de clientes de 70 bancos de diferentes países europeos y sudamericanos. El malware está dirigido a 70 bancos de diferentes países europeos y sudamericanos.

Mekotio sigue los mismos pasos de Tetrade: para realizar sus ataques, utiliza afiliados o recluta "mulas" que retiran el dinero o simplemente usa traducciones a los idiomas locales para solicitar ayuda.

En este artículo de Kaspersky mostraremos las características técnicas de los componentes del troyano, dando una visión detallada de las técnicas de ofuscación, el proceso de infección y su funcionamiento posterior, así como las tácticas de ingeniería social utilizadas por los ciberdelincuentes para convencer a las víctimas de proporcionar sus datos personales relacionados con la banca en línea.

Mekotio se compone de módulos x64 y es capaz de engañar a los usuarios para que introduzcan códigos de autenticación de dos factores en ventanas emergentes falsas. También puede convencer a un usuario para descargar una aplicación para teléfonos inteligentes con la ayuda de la ingeniería social. Usa servidores hospedados en Azure y Amazon y servidores de WordPress comprometidos para almacenar el malware y recopilar telemetría.

Escenario de ataque

Con la ayuda de los comandos que los desarrolladores de Bizarro han incluido en el troyano, los delincuentes pueden lanzar el ataque bajo el siguiente esquema:

Bancos y países afectados

Según la lista de bancos identificados en la campaña, el actor de amenazas detrás de Bizarro está apuntando a clientes de varios bancos de Europa y Sudamérica. Gracias nuestra telemetría, hemos visto víctimas de Bizarro en diferentes países, entre ellos Brasil, Argentina, Chile, Alemania, España, Portugal, Francia e Italia. Estas estadísticas vuelven a demostrar que los operadores de Bizarro han ampliado su interés hacia otras regiones más allá de Brasil.

Distribución

Bizarro se distribuye a través de paquetes MSI que las víctimas descargan desde enlaces en correos electrónicos no deseados. Una vez ejecutado, Bizarro descarga un archivo ZIP desde un sitio web previamente comprometido. En el momento de la publicación, identificamos servidores comprometidos de WordPress, Amazon y Azure utilizados para descargar el archivo ZIP. El instalador tiene dos vínculos embebidos, de los cuales uno se elige en función de la arquitectura del procesador.

El archivo descargado contiene los siguientes archivos:

  • un archivo DLL malicioso;
  • un ejecutable legítimo que es un script de AutoHotkey (en algunos ejemplos se utiliza AutoIt en lugar de AutoHotkey);
  • un pequeño script que llama a una función exportada desde el archivo DLL mencionado anteriormente.

El archivo DLL que se descarga en el disco está desarrollado en Delphi y exporta una función que contiene el código malicioso. Los desarrolladores del malware suelen ofuscar los archivos con el fin de complicar el análisis de código.

Cuando Bizarro se inicia, primero interrumpe todos los procesos del navegador para terminar las sesiones existentes con los sitios web de banca en línea. Cuando se reinician los procesos del navegador, el usuario se ve obligado a volver a introducir las credenciales de su cuenta bancaria, y el malware las captura. Otra técnica que Bizarro utiliza para obtener la mayor cantidad posible de credenciales es deshabilitar la función de autocompletar en el navegador.

Bizarro recopila la siguiente información acerca del sistema en el que se ejecuta:

  • el nombre del equipo;
  • la versión del sistema operativo;
  • el nombre predeterminado del navegador;
  • el nombre del software antivirus instalado.

La funcionalidad de backdoor es el componente central de Bizarro ya que permite a los atacantes robar credenciales de cuentas bancarias en línea. 

El backdoor contiene más de 100 comandos y la mayoría de ellos se utilizan para mostrar mensajes emergentes falsos a los usuarios. Los componentes principales del backdoor no se inician hasta que Bizarro detecta una conexión a uno de los sistemas de banca en línea de alguno de los bancos enumerados en el código.

Para hacerlo, el malware identifica las ventanas abiertas y recopila su nombres. Si estos nombres contienen caracteres en blanco, letras con acentos o caracteres especiales (como ñ o á) o símbolos que no son letras del alfabeto, como guiones, los elimina de las cadenas del nombre de las ventanas. Si el malware identifique el nombre de una ventana que coincida con la lista de palabras relacionadas con la aplicación de un banco, entonces se continúa con la ejecución del malware.

Los mensajes más interesantes que muestra Bizarro son los que fingen ser de sistemas bancarios en línea. Para mostrar estos mensajes, Bizarro necesita descargar una imagen JPEG que contenga el logotipo del banco y las instrucciones que la víctima debe seguir. Estas imágenes se almacenan en el directorio del perfil de usuario de forma cifrada. Antes de utilizar una imagen en un mensaje, se la descifra con un algoritmo XOR de varios bytes. A medida que los mensajes se descargan desde el servidor C2, solo se pueden encontrar en las máquinas de las víctimas.

Los dos mensajes siguientes tratan de convencer a la víctima de que su sistema está comprometido. En la mayoría de ellos, Bizarro le dice al usuario que no preste atención las transacciones que se producirán durante la "actualización de seguridad", ya que se utilizan sólo para confirmar la identidad del cliente. Este mensaje hace que los clientes se sientan seguros de aprobar todas las transacciones solicitadas por los atacantes.

Bizarro también intenta inducir a las víctimas a que envíen códigos de autenticación de dos factores a los atacantes. Otra característica interesante que hemos visto es que puede tratar de convencer a la víctima de que instale una aplicación maliciosa en su teléfono inteligente. Utiliza las siguientes ventanas para identificar el tipo de sistema operativo móvil instalado:

Mekotio en América Latina

Como parte de nuestra serie sobre troyanos bancarios de América Latina, en esta oportunidad presentamos Mekotio, un troyano bancario que apunta principalmente a Brasil, Chile, México, España, Perú y Portugal cuya característica más notable en las variantes más recientes es el uso de una base de datos SQL como servidor de C&C.

Si bien ESET publicó un artículo sobre Mekotio, el mismo es un análisis de una variante en particular de este troyano que en ese caso apunta principalmente a usuarios de Chile. Sin embargo, en esta publicación el objetivo es brindar panorama general a partir del análisis del comportamiento de un conjunto de variantes de Mekotio y destacar las principales características de este troyano bancario, así como su desempeño a lo largo del tiempo.

Mekotio recopila la siguiente información sobre sus víctimas:Configuración del firewall

  • Si la víctima tiene privilegios de administrador
  • Versión del sistema operativo Windows instalado
  • Si están instalados productos de protección antifraude, más específicamente GAS Tecnologia Warsaw e IBM Trusteer [1]
  • Lista de soluciones antimalware instaladas en el equipo

Mekotio garantiza la persistencia en el equipo de la víctima mediante el uso de una llave Run o creando un archivo LNK en la carpeta de inicio.

Como es común en la mayoría de los troyanos bancarios latinoamericanos que hemos analizado en esta serie, Mekotio cuenta con varias capacidades que son típicas de un backdoor. En este sentido, puede tomar capturas de pantalla, manipular ventanas, simular acciones del mouse y del teclado, reiniciar la máquina, restringir el acceso a varios sitios web bancarios y actualizarse. Algunas variantes también pueden robar bitcoins reemplazando una billetera bitcoin en el portapapeles y exfiltrar las credenciales almacenadas por el navegador Google Chrome.

El principal método de distribución de Mekotio es el spam. Desde 2018, han observado 38 cadenas de distribución diferentes utilizadas por esta familia. La mayoría de estas cadenas constan de varias etapas y terminan descargando un archivo ZIP, lo cual es típico en los troyanos bancarios latinoamericanos. En las siguientes secciones analizamos las dos cadenas más utilizadas.

Cadena 1: pasando contexto

La primera cadena consta de cuatro etapas consecutivas, como se ilustra en la Figura 4. Un simple BAT droppea un downloader en VBScript y lo ejecuta usando dos parámetros de línea de comando: un verbo HTTP personalizado [2] (“111SA”) y una URL desde la cual descarga la siguiente etapa. El downloader descarga la siguiente etapa (otro downloader) desde la URL proporcionada mientras usa un valor de User-Agent personalizado ("MyCustomUser" y sus variaciones)

La tercera etapa descarga un script de PowerShell, corrigiendo la URL desde la cual descargar Mekotio dentro del cuerpo del script, antes de ejecutarlo. Luego, el script de PowerShell descarga Mekotio desde la URL corregida y lo instala y ejecuta (el proceso de ejecución se describe en detalle más adelante).

Cadena 2: MSI con JavaScript embebido

Como ocurre con muchos otros troyanos bancarios latinoamericanos: Mekotio utiliza MSI en algunas de sus últimas cadenas de distribución. En este caso, la cadena es mucho más corta y menos robusta, ya que solo un único JavaScript, que sirve como etapa final, se integra en el MSI y se ejecuta.



Mekotio se ejecuta más comúnmente abusando del intérprete legítimo de AutoIt. En este escenario, el archivo ZIP contiene (además del troyano bancario Mekotio) un intérprete legítimo de AutoIt y un pequeño script de injector o loader de AutoIt.

La etapa final de la cadena de distribución ejecuta el intérprete de AutoIt y le pasa el script del loader o injector para que lo interprete. Ese script luego ejecuta el troyano bancario. La figura 6 ilustra todo el proceso.


El informe técnico de ESET puede leerse aquí.

Conclusión

Hace poco hemos identificado varios troyanos bancarios procedentes de Sudamérica (como Guildma, Javali, Melcoz, Grandoreiro y Amavaldo) que están expandiendo sus operaciones a otras regiones, sobre todo Europa. Mekotio / Bizarro es un ejemplo más de ello.

Los actores de amenazas detrás de esta campaña están tratando de adoptar varios métodos técnicos para complicar el análisis y la detección de malware, así como trucos de ingeniería social que pueden ayudar a convencer a las víctimas de que proporcionen sus datos personales relacionados con la banca en línea.

Fuente: Kaspersky | WeLiveSecurity

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!