Descripciones de malware

Trojans bancários brasileiros encontram o PowerShell

Cibercriminosos estão sempre buscando novas formas de melhorar o desenvolvimento de código malicioso usado para roubar dinheiro, e agora os desenvolvedores de trojans bancários brasileiros fizeram uma importante adição ao seu arsenal: o uso do PowerShell. O Brasil foi no 1º. Trimestre de 2016 o país mais afetado por trojans bancários no mundo, é também sabido que a qualidade do malware brasileiro está evoluindo dramaticamente. Encontramos o Trojan-Proxy.PowerShell.Agent.a disseminado em ataques há alguns dias trás, tornando-se uma nova conquista dos cibercriminosos brasileiros.

O malware foi distribuído usando uma campanha de e-mail maliciosa disfarçada como fatura de uma operadora de celular, com links de download para um arquivo .PIF. Após a execução do malware, ele irá alterar as configurações de proxy do Internet Explorer para um servidor que irá redirecionar as conexões para páginas de phishing de bancos brasileiros. É a mesma técnica usada pelos scripts de PAC maliciosos que descrevemos em 2013, mas dessa vez não há o uso de PACs, a mudança no sistema afetado é feita usando um script PowerShell. Como o Windows 7 e outros sistemas mais modernos que suportam a execução desses scripts são agora os mais populares no Brasil, o malware não terá nenhum problema de compatibilidade para infectar o computador das vítimas.

O malware não possuí comunicação com um C2 (controle e comando). Depois de executado ele irá usar o processo powershell.exe com a seguinte linha de comando: “-ExecutionPolicy Bypass -File %TEMP%\599D.tmp\599E.ps1” visando burlar as políticas de proteção que possam ser usadas pelo PowerShell. O arquivo .ps1 criado na pasta temporária usa nomes randômicos. O script é encodado com base64 e é ele o responsável pelas mudanças no sistema:

2016-08-10_19-58-33(2)

Após desencodado podemos ver o verdadeiro propósito do script: mudar a chave do Internet Explorer que irá ativar um sevidor de proxy:

2016-08-10_20-01-46 (2)

Esse será o resultado da execução do malware no browser da vítima: uma pequena mudança, mas de grande impacto:

2016-08-10_20-15-24

A mudança irá afetar não apenas o IE, mas sim todos os outros navegadores instalados no sistema, como o Chrome ou Firefox. Isso acontece porque esses navegadores costumam usar as configurações de proxy usadas pelo IE. Os domínios usados no ataque estão listados abaixo – todos eles usam servidores de DNS dinâmicos e o objetivo é direcionar o tráfego para um servidor localizado na Holanda (89.34.99.45), onde há diversas páginas de phishing de bancos brasileiros:

O malware também tem um recurso interessante: ele verifica o idioma configurado no sistema operacional infectado e aborta a execução caso o idioma não seja PTBR, um truque inteligente que visa evitar a infecção de pessoas que não usam esse idioma em seu computador, e assim limitar as infecções a brasileiros.

Para proteger uma rede ou computador contra esses ataques que usam o PowerShell é importante modificar as permissões do recurso, usando templates administrativos que irão permitir somente a execução de scripts assinados.

Estamos certos que este é o primeiro malware de muitos outros que surgirão usando a mesma técnica. Essa família é detectada e bloqueada em todos os produtos da Kaspersky.

Trojans bancários brasileiros encontram o PowerShell

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada