Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Troyano ataca bancos en EE.UU. y México que usan Fiddler
Se ha descubierto una nueva cepa de malware que roba información a través del phishing y la imitación de páginas bancarias.
De acuerdo con los investigadores de Zscaler, hace seguimiento de ciertas URL (incluidas la del segundo banco más grande de México, Banamex) con el objetivo de interceptar los sitios web y reemplazarlos con proxies mediante el uso de la popular aplicación para bibliotecas Fiddler, que está constantemente actualizando los dominios que son objetivo de ataques.
ThreatLabZ de Zscaler encontró el troyano, escrito en .NET, en abril. Los investigadores dijeron que el malware tiene origen en español y fue primeramente encontrado atacando a usuarios en EE.UU. y México.
“El segundo banco más grande de México, Banamex, parece ser el objetivo principal de este troyano que roba información de credenciales y realiza fraude financiero”, dijeron los investigadores en el análisis. “Sin embargo, los autores pueden fácilmente agregar más objetivos ya que ellos están actualizando activamente la lista cada 10 minutos”.
Como muchos ataques hoy en día, el ciclo de infección comienza con un poco de ingeniería social. Los correos de phishing contienen un payload con instalador y doble extensión, “curp.pdf.exe” en un intento de colocarlo como un archivo PDF para el usuario final. El payload del malware no tiene un icono de archivo PDF embebido, así que el usuario verá el archivo con un icono de aplicación genérica.
Una vez que la víctima da clic, el instalador ejecuta y descarga el payload que roba las credenciales bancarias: el légitimo Fiddler Proxy Engine para las aplicaciones de .NET, que los autores del malware están empleando como la principal funcionalidad para el robo de información, y el framework JSON de código abierto, que emplean para el análisis de los datos de la respuesta del servidor Command & Control (C&C) y convertirlos en formato XML.
Una vez que el programa ha sido descargado, se establece para permanecer activo mediante la generación de una entrada clave de registro automático de inicio en los equipos que ejecutan Windows XP. Entonces el malware emplea Json.NET, una biblioteca de clases legítima de .NET, para recolectar información como “MachineName”, el “UserName”, “systeminfo” y “hostip”.
El servidor C&C envía un archivo de configuración que contiene una lista de tuplas dominio-a-IP que son usadas principalmente para que el malware secuestre peticiones de usuario a dominios de bancos, entonces redirecciona a un servidor malicioso que aloja un sitio falso donde las víctimas son alentadas a ingresar sus credenciales.
“Regularmente vemos múltiples payloads basados en .NET pero este troyano en particular llamó nuestra atención debido a que usa tanto una aplicación popular de bilbioteca, Fiddler, como Json.NET en su operación”, dijeron los investigadores.
