Menú de contenidos Cerrar

Incidentes

Rootkit bancario: ahora también para sistemas de 64 bits

Incidentes

lectura de un minuto

Autores

Kaspersky Lab ha detectado el primer rootkit bancario, creado para infectar los sistemas de 64 bits. Se encontró en un ataque drive-by realizado por cibercriminales brasileños.

Encontramos un applet de Java malicioso en un popular sitio web brasileño. El ataque se realizó con un applet malicioso que tenía el propósito de infectar a los usuarios que emplean versiones antiguas de JRE (Java Runtime Environment) en sistema de 32 y 64 bits.

Encontramos archivos interesantes en esta applet:

La estrategia maliciosa es simple, pero interesante. El archivo add.reg desactiva el UAC (Control de Acceso de Usuarios) y agrega CAs (Autoridades de Certificación) falsas en el Registro de Windows del ordenador infectado:

El archivo cert_override.txt es un certificado digital falso firmado por la CA registrada en el sistema. El principal objetivo de este ataque es redirigir al usuario a un dominio phishing. El sitio web falso muestra un ícono de una conexión https, y se hace pasar por la verdadera página del banco. Los cibercriminales brasileños han estado utilizando esta táctica para registrar CAs maliciosas en sistemas infectados desde el año pasado.

El archivo aaa.bat se ejecuta en el archivo bcdedit.exe, una herramienta legítima desarrollada por Microsoft para editar la configuración de arranque de Windows Vista y versiones posteriores. Al usar esta herramienta y algunos parámetros como “DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” y “type= kernel start= boot error= normal”, los archivos plusdriver.sys y plusdriver64.sys se copian en la carpeta de drivers y se registran como drivers activos en el próximo arranque. Esta técnica les permite lanzar su driver sin una firma digital legítima, y mi colega Vyacheslav la describió hace poco en el blog de Viruslist.

Después de registrarlos, los drivers maliciosos ejecutan algunos comandos para cambiar el archivo “hosts” agregando una redirección a un dominio phishing y eliminando algunos de los archivos de un complemento de seguridad que emplean los bancos brasileños:

Detectamos los archivos maliciosos como Rootkit.Win64.Banker.a, Rootkit.Win32.Banker.dy y la applet maliciosa como Trojan-Dropper.Java.Agent.e.

Autores

Rootkit bancario: ahora también para sistemas de 64 bits

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

De los mismos autores

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada

En la misma categoría

    • Últimas publicaciones
    Informes

    MosaicRegressor: acechando en las sombras de UEFI

    Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

    Dark Tequila Añejo

    Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada

    Amenazas

    Amenazas

    Categorías

    Categorías

    Otros sitios

    © 2024 AO Kaspersky Lab. Todos los derechos reservados.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada