News

Brasil: un nuevo reto de criptografía

Hace algún tiempo escribí un artículo sobre el funcionamiento de los troyanos bancarios brasileños, pero el tiempo corre y los programadores brasileños siguen mejorando sus trucos y creando métodos de infección cada vez más complejos. Prueba de ello es una muestra en la que estuve trabajando ayer. El método de infección es bastante tradicional:

Un mensaje fraudulento con enlaces a fotografías falsas —-> Descarga y ejecución del Trojan.Downloader inicial —-> Descarga e instalación de Troyanos bancarios

Lo novedoso (para Brasil) está entre la segunda y tercera etapa, cuando el Trojan.Downloader descarga e instala el troyano bancario. Los programadores brasileños ofuscan los enlaces de descarga utilizando varias técnicas y codifican el troyano bancario para descargarlo al sistema.

Por ejemplo, si se desofuscan los enlaces maliciosos y se intenta descargar los troyanos que esconden, se verá algo así:

Es un archivo ejecutable portátil (PE) codificado (empaquetado de forma especial). Los programadores de Brasil utilizan esta técnica para evitar que las empresas antivirus analicen y vigilen de forma automática sus creaciones. Si se descarga esta muestra en el servidor, no funcionará a no ser que se la decodifique. El mecanismo de decodificación en este caso esta incluido en el Trojan.Downloader inicial, que descarga el programa malicioso en primera instancia y después lo decodifica para poder infectar el ordenador de la víctima:

Ahora mira la diferencia: es el mismo archivo, pero tras decodificarlo parece un clásico archivo PE y se puede utilizar para infectar a la víctima:

Kaspersky Lab detecta esta muestra en particular como Trojan-Banker.Win32.Banker.aumz Este programa ataca a los usuarios de los tres bancos más grandes de Brasil.

Brasil: un nuevo reto de criptografía

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada