2 sept 2024

Análisis técnico de troyano bancario distribuido en facturas (Argentina)

Por Leonel Arrua
Analista en Seguridad de la Información. Estudiante de Licenciatura en Sistemas de la Información UADER
Integrante de LASI (Laboratorio Seguridad de la Información UADER)

El presente documenta profundiza en el análisis de la cadena de infección de un malware altamente propagada en Argentina y América Latina y que se propaga a través de correos falsos (phishing) de multas, facturas, citaciones y diversos documentos que intentan engañar al usuario para que los descargue.

La muestra analizada corresponde al troyano bancario MISPADU (aka URSA), aunque es difícil de confirmar su origen porque este tipo de malware, presuntamente de brasileño, comparte similitudes con otros, tales como como Mekotio, Casbaneiro, Grandoreiro, Javali y Lampion. Las cadenas de ataques que involucran este tipo de troyano aprovechan los mensajes de correo electrónico que instan a los destinatarios a abrir documentos, lo que desencadena un proceso de infección de varias etapas.

En este caso, el usuario recibe un correo electrónico donde se le intima a pagar una factura de una empresa de telecomunicaciones. Dentro de este correo, se le proporciona un enlace de descarga para la supuesta factura. La cadena de infección es similar a la observada en este análisis de la empresa MorphiSec.

Al hacer clic en el enlace, se muestra una página web al usuario indicando que se está cargando la factura. Posteriormente, redirige al sitio que realiza la descarga del primer componente malicioso.

Sitio de descarga: http://214.124.168.184.host.secureserver[.net/?facdigital-web/ConsultaTelecom.aspx?nroFactura=9203

Este archivo comprimido contiene un archivo de Aplicación HTML (.hta) y un directorio "oculto" que contiene un ejecutable de GoogleUpdate.exe legítimo. Cuando la víctima lo ejecuta manualmente, se inicia el programa mshta.exe de Windows, utilizado para abrir este tipo de archivo. A través de este, se realiza una consulta al sitio web, ejecutando un JavaScript presente en el sitio. Este script descarga un archivo de Visual Basic y lo ejecuta mediante la consola de comandos de Windows (CMD).

Se puede descargar el análisis completo desde aquí.

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!