News

Fuego amigo

En nuestros análisis rutinarios de malware, a veces descubrimos nuevas técnicas que están utilizando los cibercriminales brasileños para desactivar la protección antivirus. Ahora los troyanos bancarios brasileños están utilizando Gmer (una conocida herramienta autónoma anti-rootkit) para remover GBPlugin, un mecanismo de seguridad muy utilizado por los cuatro mayores bancos brasileños. Alrededor de 15 millones de ordenadores brasileños utilizan GBPlugin, que está diseñado para prevenir el robo de datos bancarios personales.

Es común que los desarrolladores de malware utilicen programas legítimos para eliminar antivirus y otras soluciones de seguridad. Lo vimos con PSEXEC de Sysinternals. Esta es la segunda vez vemos que un programa malicioso brasileño utilice una herramienta legítima; el primero fue Avenger, otra herramienta anti-rootkit, que se utilizó para eliminar los mismos archivos GBPlugin.

El malware que estuvimos analizando descarga una versión antigua de Gmer (1.014) desde un servidor chino legítimo pero comprometido. Lo guarda como System%logsvc.exe y, cuando lo instala, el programa nocivo registra un servicio especial para remover GBPlugin utilizando tecnología rootkit.

Después se crea un archivo bat en el sistema y dentro del archivo se pueden ver los comandos diseñados para deshacerse de todos los archivos que permiten el funcionamiento de GBPlugin,
usando el parámetro –killfile.

También se instala otro controlador con comandos para eliminar los archivos GBPlugin para asegurar que se eliminen todos los archivos:

Nuestros productos detectan a este troyano como Trojan-Downloader.Win32.Homa.yw y al controlador como Rootkit.Win32.Agent.neg.

Fuego amigo

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada