Hemos visto algunos comentarios sobre el uso de la plataforma Amazon Cloud para realizar ataques exitosos contra Sony… bueno, hoy descubrí que Amazon Web Services (Cloud) ahora se está utilizando para difundir programas que roban datos financieros.
La evidencia indica que los cibercriminales responsables del ataque son brasileños y utilizaron varias cuentas que ya estaban registradas para propagar la infección. Por desgracia, 12 horas después de presentar una queja formal a Amazon, ¡los enlaces maliciosos siguen activos y disponibles! También vale la pena mencionar que cada vez más criminales utilizan servicios en la nube legítimos con malas intenciones. En la mayoría de los casos, logran aprovecharlos con éxito.
Ahora quiero decir unas palabras sobre el malware en Amazon Web Services Cloud:
Tiene muchos códigos maliciosos diferentes, todos se descargan en el ordenador de la víctima y actúan de distintas formas:
- Actúan como Rootkit – buscan y bloquean la ejecución normal de cuatro antivirus diferentes y una aplicación de seguridad especial llamada GBPluggin que muchos bancos utilizan para asegurar las transacciones bancarias que se realizan por Internet:
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgwdsvc.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgchsvx.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgtray.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgrsx.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgcsrvx.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10Identity ProtectionAgentBinAVGIDSAgent.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10Identity ProtectionAgentBinAVGIDSMonitor.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgnsx.exe
DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastUI.exe
DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastSvc.exe
DeviceHarddiskVolume1Arquivos de programasAviraAntiVir Desktopavscan.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG8avgupd.exe
DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast4VisthUpd.exe
DeviceHarddiskVolume1Arquivos de programasAviraAntiVir Desktopavupgsvc.exe
DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastUI.exe
DeviceHarddiskVolume1Arquivos de programasESETESET NOD32 Antivirusupdater.dll
DeviceHarddiskVolume1Arquivos de programasGbPlugingbpsv.exe
DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehcef.dll
DeviceHarddiskVolume1Arquivos de programasGbPlugingbieh.gmd
DeviceHarddiskVolume1Arquivos de programasGbPlugincef.gpc
DeviceHarddiskVolume1Arquivos de programasGbPlugingbieh.dll
DeviceHarddiskVolume1Arquivos de programasGbPlugingbpdist.dll
DeviceHarddiskVolume1Arquivos de programasGbPluginbb.gpc
DeviceHarddiskVolume1Arquivos de programasGbPlugingbpkm.sys
DeviceHarddiskVolume1WINDOWSsystem32scpsssh2.dll
DeviceHarddiskVolume1WINDOWSsystem32driversgbpkm.sys
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesscpsssh2.inf
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesabn.gpc
DeviceHarddiskVolume1WINDOWSDownloaded Program Fileserma.inf
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbieh.gmd
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbiehabn.dll
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbiehuni.dll
DeviceHarddiskVolume1WINDOWSDownloaded Program FilesGbPluginABN.inf
DeviceHarddiskVolume1WINDOWSDownloaded Program FilesGbPluginuni.inf
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesuni.gpc
DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehuni.dll
DeviceHarddiskVolume1Arquivos de programasGbPluginuni.gpc
DeviceHarddiskVolume1Arquivos de programasScpadscpIBCfg.bin
DeviceHarddiskVolume1Arquivos de programasScpadscpMIB.dll
DeviceHarddiskVolume1Arquivos de programasScpadscpsssh2.dll
DeviceHarddiskVolume1Arquivos de programasScpadsshib.dll
DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehscd.dll
DeviceHarddiskVolume1Arquivos de programasGbPlugingbpdist.dll
DeviceHarddiskVolume1Arquivos de programasGbPluginscd.gpc
DeviceHarddiskVolume1Arquivos de programasGbPluginGbpSv.exe
- Roban información financiera de 9 bancos brasileños y 2 internacionales.
- Roban las credenciales de Microsoft Live Messenger.
- Roban los certificados digitales que usan eTokens en el sistema.
- Roban información sobre la CPU, número de volumen del disco duro, nombre del ordenador, etc. (Algunos bancos latinoamericanos usan esta información durante el inicio de sesión para verificar la identidad de sus clientes).
- Envían los datos robados de dos formas: Por correo electrónico a una cuenta de Gmail del cibercriminal y mediante un php especial, insertando los datos a una base de datos remota.
- Por último, los códigos maliciosos están protegidos por un programa legítimo contra la piratería llamado The Enigma Protector. Los criminales lo usan para dificultar el proceso de ingeniería inversa que emplean los analistas.
KAV detecta todos los ejemplares como:
Trojan-Downloader.Win32.Murlo.lib
Trojan-PSW.Win32.MSNer.a
Trojan-Banker.Win32.Banz.iok
Trojan-Banker.Win32.Banker.blpm
Trojan-Downloader.Win32.Homa.fgx
Trojan-Banker.Win32.Banker.blbt
Espero que Amazon desactive los enlaces nocivos pronto. Creo que los cibercriminales seguirán utilizando los servicios en la nube para lanzar diferentes tipos de ciberataques. Los proveedores en la nube deberían comenzar a buscar mejores formas de vigilar sus sistemas y agrandar sus equipos de seguridad para combatir los ataques de malware que se activan y propagan con sus servicios.
Un programa que roba datos financieros se propaga mediante Amazon Web Services Cloud