Brasil: un nuevo reto de criptografía

Hace algún tiempo escribí un artículo sobre el funcionamiento de los troyanos bancarios brasileños, pero el tiempo corre y los programadores brasileños siguen mejorando sus trucos y creando métodos de infección cada vez más complejos. Prueba de ello es una muestra en la que estuve trabajando ayer. El método de infección es bastante tradicional:

Un mensaje fraudulento con enlaces a fotografías falsas —-> Descarga y ejecución del Trojan.Downloader inicial —-> Descarga e instalación de Troyanos bancarios

Lo novedoso (para Brasil) está entre la segunda y tercera etapa, cuando el Trojan.Downloader descarga e instala el troyano bancario. Los programadores brasileños ofuscan los enlaces de descarga utilizando varias técnicas y codifican el troyano bancario para descargarlo al sistema.

Por ejemplo, si se desofuscan los enlaces maliciosos y se intenta descargar los troyanos que esconden, se verá algo así:

Es un archivo ejecutable portátil (PE) codificado (empaquetado de forma especial). Los programadores de Brasil utilizan esta técnica para evitar que las empresas antivirus analicen y vigilen de forma automática sus creaciones. Si se descarga esta muestra en el servidor, no funcionará a no ser que se la decodifique. El mecanismo de decodificación en este caso esta incluido en el Trojan.Downloader inicial, que descarga el programa malicioso en primera instancia y después lo decodifica para poder infectar el ordenador de la víctima:

Ahora mira la diferencia: es el mismo archivo, pero tras decodificarlo parece un clásico archivo PE y se puede utilizar para infectar a la víctima:

Kaspersky Lab detecta esta muestra en particular como Trojan-Banker.Win32.Banker.aumz Este programa ataca a los usuarios de los tres bancos más grandes de Brasil.