La organización PhishMe recibió la semana pasada un correo de phishing el cual contenía adjunto una muestra de  malware que realiza capturas de pantallas de los sistemas infectados, estas imágenes son enviadas a los atacantes, sin embargo, un investigador fue capaz de darle un giro y tomar el control para "observar a los observadores".

Los correos de phishing, que pretendían provenir de HSBC, contienen un archivo adjunto que infecta a los sistemas con un malware conocido como Dynasty Keylogger (también conocido como Predator Dynasty) cuando es ejecutado, de acuerdo a la publicación del pasado jueves.

Ronnie Tokazowski, uno de los principales investigadores de PhishMe, comentó el día jueves mediante un correo al portal SCMagazine.com que dicho malware tiene características de keylogger, además de la habilidad de iniciar de forma persistente, realizar capturas de pantalla y eludir el control de acceso de los usuarios.

Asimismo, Tokazowski comentó que dicho malware tiene la capacidad de enviar las contraseñas almacenadas en el navegador web, mensajero de correo o gestor de descargas de Internet a los atacantes, además de desactivar controles tales como regedit, administrador de procesos, MSconfig y el command prompt.

Se  examinó la muestra de malware en máquinas virtuales, las capturas de pantalla realizadas en el entorno controlado permitieron realizar un análisis, de esta forma se logró dar un giro y observar el regreso de la información del malware. "Para verlos, tomé una captura de tráfico de red mientras la máquina virtual infectada se encontraba bajo mi control", "Después de realizar la captura de esos paquetes, pude ver cómo funcionaba el malware", comentó Tokazowski. Si la información se comparte como firma a los provedoores, será más difícil para los atacantes el uso de este malware.

Los atacantes tuvieron varios errores. Cuando el archivo se descarga y ejecuta, el malware alerta a los atacantes de una nueva máquina infectada mediante el envió de un correo vía SMTP, la publicación explica que haber elegido una codificación fija para la validación de credenciales de correo es una grave equivocación.

Tokazowski comentó, "cuando un atacante usa una codificación fija de credenciales dentro de un archivo binario, el te está entregando en bandeja de planta su usuario y contraseña [...] Desde el stream de SMTP, los atacantes estaban usando una cuenta de correo junto con una contraseña para enviar la información a una dirección de correo. Con esto alguien podría fácilmente ingresar a la dirección de correo y a las bitácoras del C&C  para obtener todo lo que los atacantes han conseguido con esta cuenta."

"En segundo lugar, cometieron el error de  establecer comunicación en texto claro con el C&C. De esta forma las empresas pueden crear fácilmente firmas, haciendo difícil para los atacantes reutilizar el código".