Mostrando entradas con la etiqueta troyano bancario. Mostrar todas las entradas
Mostrando entradas con la etiqueta troyano bancario. Mostrar todas las entradas

lunes, 3 de septiembre de 2018

Backswap ataca ahora a la banca española

Nueva versión de Backswap ataca ahora a seis entidades bancarias españolas.



Ya hablamos en la Una al Día de BackSwap, una variante de Tinba, un pequeño (10-50kB) pero sofisticado troyano bancario que implementa algoritmos de generación de dominios (para la comunicación con el C&C), captura de credenciales de usuario desde formularios o la inyección en diferentes procesos.

 Existen múltiples versiones de Backswap, la mayoría tienen como objetivo bancos polacos o monederos de criptomonedas. 

 Como su nombre indica, el malware "intercambia" (swap) el número de cuenta de la víctima directamente por el de la "mula" que retirará el dinero. 

 Mediante un ataque MitB (Man-in-the-Browser), el atacante intercambia los números de cuenta inyectando código JavaScript directamente en la consola del navegador. Todo ello sin que la víctima se de cuenta.

 Las últimas muestras encontradas han ampliado sus objetivos y apuntan ahora a bancos españoles. En total seis importantes entidades se han visto afectadas por este malware.

 Backswap se propaga en campañas de spam, por lo que recomendamos no abrir nunca correos con adjuntos no solicitados. Además de mantener siempre actualizados sus sistemas de seguridad.
Indicadores de compromiso:

  • hxxps://5[.]61[.]47[.]74/batya/give.php
  • hxxps://103[.]242[.]117[.]248/batya/give.php
  • hxxps://mta116[.]megaonline[.]in
  • hxxps://czcmail[.]com (IP: 119[.]23[.]128[.]176)


 Muestras recientes:
Francisco Salido
fsalido@hispasec.com

Más información:


0 comentarios
Etiquetas: ,

miércoles, 21 de marzo de 2018

Fakebank, el troyano bancario que intercepta tus llamadas

El troyano bancario está dirigido a bancos coreanos y es capaz de interceptar las llamadas entre las víctimas y el banco.


A diferencia de versiones anteriores de Fakebank, esta nueva variante es capaz de interceptar las llamadas entre el usuario y su entidad bancaria y viceversa. Para ello, el troyano recolecta en primer lugar información personal del usuario y la envía al servidor de C&C. Posteriormente, el C&C responde con varios parámetros de configuración, especificando entre otras cosas el número de teléfono que será usado en el fraude:
  • phoneNum_ChangeNum: El número legítimo del banco, que será reemplazado por el número fraudulento cuando el usuario haga la llamada. 
  • phoneNum_To: El número de los atacantes que simulará ser el banco.
  • phoneNum_Come: El número del atacante que llamará a la víctima. Se falsificará el ID de la llamada.
  • phoneNum_ShowNum: El número legítimo del banco que se mostrará cuando los atacantes realizan la llamada.


Parámetros de configuración del malware. Fuente: https://www.symantec.com

Cuando el usuario llame a su entidad bancaria el malware interceptará la llamada y la redirigirá a los atacantes. Y al contrario, cuando los atacantes simulen una llamada de la entidad bancaria, suplantarán la identidad de ésta falsificando el ID de la llamada.

 De este modo los atacantes tienen un mecanismo bastante efectivo para engañar a sus víctimas.

 No solo esto, el malware también ha mejorado su sistema de permisos, ajustándose a las distintas versiones de Android para conseguir pasar más inadvertido:
  • Versiones anteriores a Android 6 especificarán el permiso de 'android.permission.SYSTEM_ALERT_WINDOW' en el 'manifest' de la aplicación, por lo que se notificará en la instalación.
  • En Android 6 y 7 los permisos se conceden de forma silenciosa si se declaran en el 'manifest' y la aplicación proviene de Google Play.
  • A partir de la versión 8 de Android ya no se permite superponer ventanas desde aplicaciones, por lo tanto el malware no funcionaría.

Configuraciones específicas para diferentes pantallas. Fuente: https://www.symantec.com

 Como recomendaciones de seguridad se recomienda siempre instalar aplicaciones de repositorios oficiales y poner especial atención a los permisos que se solicitan.
Francisco Salido
fsalido@hispasec.com

Más información:


0 comentarios
Etiquetas: ,

jueves, 24 de agosto de 2017

Variantes de ZLoader afectan a entidades españolas

En ocasiones anteriores hemos podido observar cómo, a través de distintos correos electrónicos, los atacantes intentaban provocar que nos descargaramos archivos para infectar nuestros dispositivos. Las últimas tendencias, apuntaban a que sería el ransomware lo que más suscitaria el interés de los atacantes. Sin embargo, en esta ocasión nos encontramos ante un troyano bancario.


Recibimos un correo con el típico modus operandi de la factura pendiente. Esta incluye un documento de de Microsoft Office. Concretamente para esta oleada han predominado los documentos XLS.

Una vez abierto, nos encontramos con un contenido similar al que veremos a continuación:

Captura de pantalla del documento malicioso

El documento nos solicita habilitar el contenido. Lo que pretenden es que la victima habilite las macros para, mientras ojea el documento, se ejecute código malicioso. 

Captura del codigo Powershell ejecutado

Este código, ofuscado para evitar que sea sencillo de analizar, se encarga de realizar descargas de distintos sitios web. En caso de que uno de los dos sitios web no responda hará uso del siguiente para continuar con su ataque. 

hxxp://forminore.co/game-for-windows/keys.exe
hxxp://forstraus.co/dfhguserhivesbvhio-84u84jdfkvkdf/utilite.exe

Estos dos archivos .exe corresponden a un Terdot/ZLoader, un troyano bancario que roba datos de los clientes de las entidades incluidas en su configuración. Quedan almacenados en el directorio %APPDATA% del usuario, lugar donde rara vez mira el usuario común. 

Algunos de los webinjects del troyano bancario.

La configuración del troyano cuenta con inyecciones de código para distintas entidades españolas, entre ellas:
  • Santander España
  • BMN
  • Abanca 
  • Ruralvia
  • *.de (Entidades alemanas)
En el escaneo inicial, únicamente 8 motores antivirus detectaban la amenaza. Un par de días después, más de 40 motores lo detectaban. 

Detecciones del troyano en VirusTotal.

La recomendación estrella en este tipo de ocasiones, a parte de contar con una base de datos de virus actualizada, es evitar habilitar las macros en documentos de este tipo. Si no estamos seguros de la procedencia del archivo, es preferible no abrirlo. Si procede de alguien conocido, siempre puedes asegurarte preguntando para evitar este tipo de infecciones. 

Fernando Díaz
fdiaz@hispasec.com
0 comentarios
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)
Hispasec Sistemas | Copyright ©1998-2017