|
Noticias
relacionadas |
|
|
|
PandaLabs ha detectado una dirección web preparada para llevar a cabo un
complejo ataque combinado en el que participan hasta varios ejemplares de
malware distintos. El mayor peligro de este ataque es que se inicia tan sólo con
la visita a una determinada dirección de Internet, preparada para aprovechar
posibles vulnerabilidades en el equipo del usuario que se encuentre conectado a
dicha dirección.
En caso de que el usuario se conecte a dicha dirección, lo que verá será un
código javascript codificado que, en realidad, constituye una forma de ocultar
otro código que por medio de diversas vulnerabilidades y objetos diseñados a tal
efecto, en caso de ser exitosa, resulta en la descarga en el sistema de Trj/Downloader.CYZ.
Cuando éste se ejecuta, intenta otorgarse a sí mismo el privilegio de depurar (debug)
otros programas, con esto podría, entre otras cosas, terminar procesos, crear
hilos de ejecución remotos… Posteriormente se autocopia en %temp%\sstchst.exe y
se ejecuta, borrando el fichero inicial. Además, intenta descargar y ejecutar
dos ficheros desde otras tantas direcciones web, file1.exe y file2.exe, que
contienen dos códigos maliciosos, Trj/Banker/VY y Trj/Dumarin.L, y que guardará
en el sistema. El troyano posee también la capacidad de cerrar ventanas
normalmente asociadas a avisos de seguridad, de modo que el usuario no pueda
visualizarlas y advertir el peligro. En cada infección, Downloader.CYZ se
conecta a una web que parece ser un contador del número de infecciones.
Por su parte, Trj/Banker/VY se copia en el sistema con el nombre
nbthlp.exe, creando una entrada en el registro de Windows para ejecutarse cada
vez que se reinicie el sistema. Sin embargo, la peligrosidad de este troyano
reside en que está diseñado para interceptar la información que el usuario
introduce cuando se conecta a páginas web correspondientes a un gran número de
entidades financieras de todo el mundo.
Para llevar esto a cabo, emplea un curioso método, que consiste dos acciones:
• Por un lado, lanza una petición DNS para resolver un dominio, del que obtiene
direcciones cientos de réplicas falsas de páginas web de bancos, con el objeto
de llevar a cabo ataques de phishing. Seguidamente, modifica el fichero HOSTS
creando cientos de entradas que corresponden a las entidades bancarias que desea
controlar, de modo que cuando el usuario solicite dichas páginas, se le
presenten aquellas réplicas cuyas direcciones acaba de conseguir.
• Por otro lado, el troyano posee una lista de cadenas de caracteres detalladas
en su código, agrupadas por entidad bancaria: en caso de que el usuario
introduzca alguna combinación de estas cadenas de caracteres, será redirigido a
una nueva web falsa simulando ser su banco, para llevar a cabo la estafa.
La motivación que se puede esconder detrás de esta sofisticación del phishing es
evitar el problema de las direcciones variables, de modo que no son abarcables
por medio de una simple modificación del fichero HOSTS. De este modo, si todas
las direcciones variables poseen una parte común, también podrán ser atacadas.
Por otra parte, Trj/Dumarin.L deposita una serie de ficheros en el
ordenador afectado, con una función específica en cada caso:
o Uno de los ficheros, detectado a su vez como Trj/MiniLD.C, se inyecta
en todos los procesos del sistema, permitiendo que Dumarin.L inspeccione
los títulos de determinadas ventanas y en función de ellos, capture información
y la escriba en un fichero de log.
o El segundo de los ficheros es indicador de la máquina
o El tercero de los ficheros salva la información depositada por el usuario en
el portapapeles.
o Finalmente, un cuarto contiene la funcionalidad backdoor, que permite que el
troyano reciba órdenes por control remoto. Además, con el fin de evitar
firewalls orientados a procesos, Dumarin.L crea un proceso Internet Explorer
hijo, en el que se inyecta y a través del cual escucha.
Toda la información recolectada la va recogiendo en un directorio temporal, que
posteriormente envía a un servidor remoto. En el momento de escribir estas
líneas, dicha información superaba los 20MB, y contiene información muy
confidencial que permitiría a cualquier persona acceder a las cuentas online de
bancos, Skype, MS Passport, webmail...
Según Luis Corrons, director de PandaLabs: “Si algo destaca en este ataque es
lo cuidado que está, tanto en lo referente al troyano Banker.VY, que vigila un
gran número de webs de entidades bancarias y las falsea de forma convincente, lo
que implica un exhaustivo trabajo de investigación por parte del creador, como
por parte de Dumarin.L, capaz de robar información de un gran número de
aplicaciones diferentes, de las que puede obtener beneficio. Parece claro que,
cada vez más, los desarrolladores de malware apuestan por vivir económicamente
de sus creaciones”. |