A
principios de año analizamos
una muestra de Pazera, un nuevo malware bancario para usuarios de Windows especialmente
dirigido a múltiples entidades Chilenas y que llegaba a través de un correo que
suplantaba la Policía chilena. Lamentablemente este
troyano sigue muy activo incluso con más muestras.
Interesante análisis de Pazera, un troyano para entidades chilenas https://t.co/3K6jgr3UN9 En @hispasec @unaaldia por @entdark_ y @jsmesa— Antonio Ropero (@aropero) 4 de enero de 2017
En la actualidad hemos ya hemos detectado hasta siete muestras diferentes, todas ellas funcionan de un modo similar.
La cadena de infección pasa por
diferentes estados hasta que el payload final se ejecuta en el ordenador del
usuario. Para evitar la detección del antivirus, el payload se esconde dentro
de un archivo zip protegido con clave.
 |
| Cadena de infección de Pazera |
Primero el usuario recibe un
correo del atacante suplantando una entidad conocida, por ejemplo el PDI
(Policía de Investigaciones de Chile). De esta forma se trata de engañar al
usuario a pulsar en la URL, lo que ejecutará un archivo ZIP que contiene un
archivo Javascript, que es esencialmente el dropper. Tras ello contactará con
un servidor diferente, descargará un archivo zip protegido con contraseña y lo
almacenará en el equipo del usuario. En el siguiente paso descifra el archivo
zip y lo ejecuta. Por último, la información sobre el ordenador infectado se
envía a un servidor remoto de mando y control (C&C) que almacena
información tal como el id de la computadora, el nombre de usuario, el
antivirus, la versión de Windows, etc.
 |
| Una imagen del panel de Mando y Control de Pazera |
Hemos publicado un completo informe en el que analizamos y
ofrecemos muchos más detalles actualizados sobre este malware y las muestras
detectadas, disponible desde:
https://hispasec.com/resources/reports/BreakingUpaBankingBotnet.pdf
https://hispasec.com/resources/reports/BreakingUpaBankingBotnet.pdf
Recordamos que este malware se inyecta
en el navegador para obtener las credenciales de diferentes entidades bancarias
chilenas. Para ellos monitoriza el texto de los títulos de pestañas y de las
URLs que visitamos hasta dar con uno de sus objetivos.
Entre las entidades afectadas, se
encuentran:
- ScotiaBank
- Banco Falabella (Chile)
- Corpbanca
- BBVA Chile
- Santander Chile
Ante este tipo de amenazas donde
los antivirus no llegan a tiempo, la pauta a seguir es comprobar que el correo
electrónico está realmente emitido por la entidad, y en caso de tener adjuntos
evitar abrirlos en su totalidad. Si fuese necesario, llamar a la entidad para
comprobar que el correo realmente esté emitido por ellos o tenga alguna
relación.
Más información:
una-al-dia (04/01/2017) Pazera, un troyano para entidades
chilenas
http://unaaldia.hispasec.com/2017/01/pazera-un-troyano-para-entidades.html
Hispasec – Breaking Up a Banking Botnet
https://hispasec.com/resources/reports/BreakingUpaBankingBotnet.pdf
Hispasec – Breaking Up a Banking Botnet
https://hispasec.com/resources/reports/BreakingUpaBankingBotnet.pdf
Fernando Díaz
Antonio Sánchez
En ocasiones reenvío este tipo de noticias a usuarios no técnicos pero para ellos no es fácil leer otros más especializados. Sería interesante una lista para usuarios caseros con las noticias que ellos pueden entender y que les ayudará a protegerse mejor al estar más informados
ResponderEliminar