¿Esteganografía o codificación en troyanos bancarios?

11 Nov 2011

lectura de un minuto

Autores

Encontré un grupo interesante de archivos mientras veía algunos enlaces de Brasil que parecían maliciosos. Sus tamaños variaban, pero tenían estructuras similares.

Primero pensé que era algún tipo de esteganografía. Los archivos tienen una extensión jpeg, pero en realidad su estructura es de archivos bmp.

Es evidente que contenían malware codificado y algunos datos adicionales. Después de analizarlo con más profundidad, descubrí que era un cifrado por bloques. Que yo sepa, esta es la primera vez que los escritores de virus usan esto en Latinoamérica. El programa malicioso se ve así después de decodificarlo:

Al usar esta técnica, los creadores de virus matan varios pájaros de un tiro. En primer lugar, hacen que los sistemas de análisis de malware no funcionen bien: el programa antivirus descargaría y analizaría el archivo y le daría el visto bueno; con el tiempo el enlace se dejaría de analizar por completo. En segundo lugar, los administradores de los sitios que alojan estos archivos maliciosos no los podrían identificar como maliciosos y los dejarían intactos. Por último, algunos analistas de malware pueden no tener el tiempo o la experiencia necesaria para combatirlos. Todo esto favorece a los cibercriminales.

Hemos observado que los escritores de virus que lanzaron este ataque específico publican nuevos espejos con los archivos y nuevo malware cada dos días. Hasta ahora, el algoritmo de codificación ha sido el mismo, pero estoy seguro de que cambiará después de que publiquemos esta entrada.

Este es el script de decodificación actual:

Autores

¿Esteganografía o codificación en troyanos bancarios?

Últimas publicaciones

Informes

Hemos elaborado este informe con el propósito de compartir información de inteligencia avanzada para hacer frente a los grupos de APT asiáticos.

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

RevengeHotels es una campaña de cibercrimen mediante malware, dirigida contra hoteles, hostales y empresas de turismo y hostelería ubicados sobre todo, pero no solo, en Brasil. Hemos confirmado que han caído víctimas más de 20 marcas de hoteles.

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

¿Esteganografía o codificación en troyanos bancarios?

Historia del backdoor XZ: Análisis inicial

Malware para Android, malware para Android y aún más malware para Android

El Estado del Stalkerware en 2023 y 2024

El spam y el phishing en 2023

Tunelización de red con … QEMU?

10 meses después de su derrota, Emotet regresa de la mano de TrickBot y Cobalt Strike

Investigadores descubren una vulnerabilidad que podría afectar a todos los códigos del mundo

Google activará por defecto la verificación de dos pasos para 150 millones de usuarios

El nuevo troyano bancario para Android SOVA podría comenzar a distribuir Ransomware y ataques DDoS

Microsoft advierte sobre el peligro de las vulnerabilidades de ProxyShell descubiertas en abril

Últimas publicaciones

El spam y el phishing en 2023

Tunelización de red con … QEMU?

Virología móvil 2023

Ciberamenazas para las industrias e infraestructuras de TO en 2024

Informes

Tácticas, técnicas y procedimientos (TTPs) de los grupos de APT asiáticos modernos

MosaicRegressor: acechando en las sombras de UEFI

RevengeHotels: cibercrimen dirigido a recepciones de hotel en todo el mundo

Dark Tequila Añejo

Suscríbete a nuestros correos electrónicos semanales