Incidentes

Rootkit bancario: ahora también para sistemas de 64 bits

Kaspersky Lab ha detectado el primer rootkit bancario, creado para infectar los sistemas de 64 bits. Se encontró en un ataque drive-by realizado por cibercriminales brasileños.

Encontramos un applet de Java malicioso en un popular sitio web brasileño. El ataque se realizó con un applet malicioso que tenía el propósito de infectar a los usuarios que emplean versiones antiguas de JRE (Java Runtime Environment) en sistema de 32 y 64 bits.

Encontramos archivos interesantes en esta applet:

La estrategia maliciosa es simple, pero interesante. El archivo add.reg desactiva el UAC (Control de Acceso de Usuarios) y agrega CAs (Autoridades de Certificación) falsas en el Registro de Windows del ordenador infectado:

El archivo cert_override.txt es un certificado digital falso firmado por la CA registrada en el sistema. El principal objetivo de este ataque es redirigir al usuario a un dominio phishing. El sitio web falso muestra un ícono de una conexión https, y se hace pasar por la verdadera página del banco. Los cibercriminales brasileños han estado utilizando esta táctica para registrar CAs maliciosas en sistemas infectados desde el año pasado.

El archivo aaa.bat se ejecuta en el archivo bcdedit.exe, una herramienta legítima desarrollada por Microsoft para editar la configuración de arranque de Windows Vista y versiones posteriores. Al usar esta herramienta y algunos parámetros como “DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” y “type= kernel start= boot error= normal”, los archivos plusdriver.sys y plusdriver64.sys se copian en la carpeta de drivers y se registran como drivers activos en el próximo arranque. Esta técnica les permite lanzar su driver sin una firma digital legítima, y mi colega Vyacheslav la describió hace poco en el blog de Viruslist.

Después de registrarlos, los drivers maliciosos ejecutan algunos comandos para cambiar el archivo “hosts” agregando una redirección a un dominio phishing y eliminando algunos de los archivos de un complemento de seguridad que emplean los bancos brasileños:

Detectamos los archivos maliciosos como Rootkit.Win64.Banker.a, Rootkit.Win32.Banker.dy y la applet maliciosa como Trojan-Dropper.Java.Agent.e.

Rootkit bancario: ahora también para sistemas de 64 bits

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada