Disparo a quemarropa

O cuando su banco está comprometido

No es muy común encontrar sitios web legítimos de instituciones financieras comprometidos por los criminales, y más aún que estos sitios sean utilizados insospechadamente como plataforma para distribución de troyanos bancarios. Estos códigos maliciosos han sido diseñados de forma específica para robar dinero de los clientes de estas instituciones afectadas.

Este fin de semana, el 22 de Octubre del 2016 nos enteramos de un incidente muy interesante que sucedió con un banco en Brasil. Varias de sus páginas web fueron secuestradas, solicitando a los visitantes casuales (o clientes) a instalar un supuesto plugin de un software de seguridad popular que se usa para proteger las transacciones financieras.

bankdebrasil_01

Ejemplo de uno de los sitios web del banco comprometidos por los atacantes

En realidad se trata de un Troyano bancario en el formato JAR distribuido dentro de un archivo empaquetado Zip. Es importante recalcar que esta técnica es especialmente interesante ya que le permite al atacante lograr el efecto de “multiplataforma“.

La descarga del Troyano de hecho es automática, pues apenas el usuario abre la página un código dentro de un iFrame especialmente diseñado es ejecutado:

bankdebrasil_04

Ya que las instrucciones en la página indican que para mejorar la seguridad el usuario tiene que ejecutar de forma manual este “complemento”, las víctimas lo hacen con plena confianza.

Una vez ejecutado el archivo malicioso original, este descarga un paquete compuesto por otro conjunto de herramientas, cada una encargada de una función especial. Entre estos archivos se encuentra el programa anti-rootkit legítimo llamado “Avenger”. Lamentablemente, desde hace muchos años esta aplicación es abusada por troyanos bancarios para eliminar diferentes programas de seguridad antivirus de las computadoras de las víctimas. Sin duda este es un verdadero “fuego amigo“. Kaspersky Lab detecta dicha herramienta utilizada dentro de los ataques con el veredicto not-a-virus:RiskTool.Win32.Deleter.i:

bankdebrasil_02

Lista de los productos de seguridad a eliminarse del equipo de la víctima por el Avenger instalado por el archivo Jar malicioso original

El troyano tiene varias funciones maliciosas, entre esas se encuentra el robo de la información sensible de las víctimas, así como sus activos financieros.

Kaspersky Lab detecta el componente inicial malicioso JAR como Trojan-Downloader.Java.Agent.xxxyn

Otros dominios igualmente legítimos que le pertenecen a la institución, fueron disfrazados de Phishing para solicitar los datos de las tarjetas de los clientes para así clonarlas.

bankdebrasil_03

Phishing colocado sobre el sitio web legítimo del banco comprometido

En otros dominios comprometidos el modo de operar consiste en la descarga del binario malicioso original junto al direccionamiento posterior a la página del Phishing mencionada. De esta forma los atacantes tienen una doble oportunidad de crimen.

Para mayor información sobre el funcionamiento de este troyano bancario, así como el vector completo del ataque, los indicadores de compromiso y reglas Yara, lo invitamos a contactar nuestro servicio de “Reportes de Inteligencia Financieros” vía intelreports@kaspersky.com

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *