Todos tus datos son de “Remo”

Una de las metas principales de un cibercriminal es controlar por completo el ordenador de sus víctimas. Logran esto utilizando RATs (Herramientas de Administración Remota) y otros métodos. Los cibercriminales utilizan ordenadores infectados para realizar todo tipo de actividades maliciosas.

Los cibercriminales brasileños no son una excepción: tienen las mismas metas, pero buscan resultados más inmediatos; suelen utilizar troyanos bancarios en vez de botnets, RATs y otros métodos de control remoto. Pero este comportamiento está cambiando poco a poco: un ataque reciente demuestra que están listos para crear una red de ordenadores infectados locales y controlarlos por completo, robar sus datos y utilizarlos para enviar spam. Y lo están haciendo de una forma muy creativa: registrando la cuenta de un usuario remoto llamado “Remo”, que está protegida por una contraseña. Mediante esta cuenta, los cibercriminales tienen acceso y control absoluto del ordenador infectado.

El ataque comienza con un correo electrónico que se hace pasar por una actualización de Flash Player. La descarga instala el Flash Player legítimo, pero también descarga otro archivo que aparece en la imagen de abajo como “ajuda.txt”.

Después se cambia el nombre del archivo .txt a .msi, y se instalan en el sistema los archivos que contiene. Encontramos varios archivos dentro del archivo .msi:

El primer archivo registrado en el sistema es Play.dll, que llama a UNI.exe, una herramienta llamada Universal Termsrv.dll Patch — que altera termsrv.dll, un DLL legítimo de Windows que se utiliza para obtener acceso remoto. Esta herramienta elimina el “límite de sesiones Remotas Simultáneas del Escritorio” (Concurrent Remote Desktop sessions limit), parchando el DLL, y hace que el sistema permita que varios usuarios inicien sesión al mismo tiempo en XP/Vista/7. Básicamente, una sesión de escritorio remota concurrente permite que varios usuarios se conecten a un sistema mediante la característica de escritorios remotos (MSTSC), también conocida como Servicio Terminal. Si la característica no está activada, el malware cambia la llave HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services y sus valores para eliminar todas las formas de protección.

El malware también cambia algunas llaves en el registro de Windows para crear la cuenta de usuario Remo; Por ejemplo, la llave HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserListRemo.

La cuenta “Remo”, se registra en el sistema infectado como un usuario de acceso remoto.

Para que el atacante tenga control total de los archivos, el malware también cambia las propiedades de la carpeta raíz para compartir todo su contenido. Los archivos que se instalan se ejecutan al compartir las redes (127.0.0.1Admin$). Se egistran algunos BHOs maliciosos, cada uno para un banco brasileño diferente: bcef.dll (Caixa Economica), brada.dll (Bradesco), brasil.dll (Banco do Brasil), y bjuri.dll (Bradesco Juridico). El DLL será responsable de robar las credenciales de los usuarios durante el acceso a los servicios de banco en Internet.

Para asegurarse de que el malware esté activo después de que se reinicie el ordenador, registra dos archivos de trabajo en Windows Task Scheduler. Los archivos llaman a play.dll y actualizan update.bat, que puede descargar nuevos archivos en el sistema.

Si el ordenador está infectado, muestra los archivos ejecutados por el usuario “Remo” en el Administrador de Tareas.

Los cibercriminales han infectado más de 3.300 ordenadores en Brasil con esta técnica. Para administrar los ordenadores, los delincuentes mantienen un registro con la dirección MAC, la cuenta del usuario y la fecha de infección. El registro también muestra si los bancos brasileños han instalado algún plug-in de seguridad:

“_BB_”, que significa Banco do Brasil, se encarga de averiguar si el ordenador infectado ha instalado los plug-ins de seguridad del banco.

Los cibercriminales utilizan los ordenadores infectados para robar datos personales y distribuir spam, como una red zombi. Los criminales están vendiendo el acceso a ordenadores infectados por unos 60 $:

“Si se trata de vender spam, no hay problema: Windows Remote MSTSC y SMTP solo cuenta 100 $”.

Si eres víctima de este ataque, sólo pulsa Inicio > Ejecutar, escribe userpasswords2 y elimina la cuenta “Remo”. Todos los productos Kaspersky Lab detectan, bloquean y eliminan todos los archivos que instala este troyano.