Fuego amigo

En nuestros análisis rutinarios de malware, a veces descubrimos nuevas técnicas que están utilizando los cibercriminales brasileños para desactivar la protección antivirus. Ahora los troyanos bancarios brasileños están utilizando Gmer (una conocida herramienta autónoma anti-rootkit) para remover GBPlugin, un mecanismo de seguridad muy utilizado por los cuatro mayores bancos brasileños. Alrededor de 15 millones de ordenadores brasileños utilizan GBPlugin, que está diseñado para prevenir el robo de datos bancarios personales.

Es común que los desarrolladores de malware utilicen programas legítimos para eliminar antivirus y otras soluciones de seguridad. Lo vimos con PSEXEC de Sysinternals. Esta es la segunda vez vemos que un programa malicioso brasileño utilice una herramienta legítima; el primero fue Avenger, otra herramienta anti-rootkit, que se utilizó para eliminar los mismos archivos GBPlugin.

El malware que estuvimos analizando descarga una versión antigua de Gmer (1.014) desde un servidor chino legítimo pero comprometido. Lo guarda como System%logsvc.exe y, cuando lo instala, el programa nocivo registra un servicio especial para remover GBPlugin utilizando tecnología rootkit.

Después se crea un archivo bat en el sistema y dentro del archivo se pueden ver los comandos diseñados para deshacerse de todos los archivos que permiten el funcionamiento de GBPlugin,
usando el parámetro –killfile.

También se instala otro controlador con comandos para eliminar los archivos GBPlugin para asegurar que se eliminen todos los archivos:

Nuestros productos detectan a este troyano como Trojan-Downloader.Win32.Homa.yw y al controlador como Rootkit.Win32.Agent.neg.