Enviado por fredyavila2 el Jue, 26/04/2018 - 18:43
Phising

Últimamente se ha logrado detectar campañas de malware financiero específicamente dirigido a empresas brasileñas, a las cuales se ha denominado como: “Metamorfo”, dicho malware utiliza tácticas y técnicas para evadir la detección y entregar la carga maliciosa.

Cifras del año 2017

  • La proporción de spam en el tráfico de correo fue del 56,63%, que es 1,68 %. menos que en 2016.
  • La mayor parte del spam, el 13,21%, sigue proviniendo de Estados Unidos.
  • El 43,40% de los mensajes de spam eran de menos de 2 KB
  • La familia de malware más común en el correo fue Trojan-Downloader.JS.Sload
  • El sistema Antiphishing realizó 260 403 422 detecciones.
  • El 15,9% de usuarios únicos se vio afectado con phishing

Las campañas detectadas comparten mucho en común, esto incluye el uso de una ruta de infección de múltiples etapas, el uso de una herramienta legítima de Windows como cargador lateral y el uso de almacenamiento en la nube para alojar el código malicioso, pero con ligeras diferencias de morfología.

Campaña #1 examinada por FireEye Labs, la cadena de interrupción comienza con un correo electrónico (que se refiere a una transferencia electrónica de fondos) que contiene un archivo adjunto HTML. El archivo adjunto redirige a una URL acortada por Google, y esta a su vez redirecciona a la víctima a un sitio de almacenamiento en la nube, como GitHub, Dropbox o Google Drive, para descargar un archivo ZIP. El usuario debe descomprimir el archivo y hacer doble clic en el ejecutable para que la cadena de infección continúe.

https://www.fireeye.com/content/dam/fireeye-www/blog/images/Metamorfo/Fig1.png

Si el archivo ZIP se descarga, el usuario procede a descomprimir para instalar la herramienta legítima y firmada de Windows, que posteriormente se utiliza para cargar el troyano bancario (también incluido en el archivo).

A partir de ahí, el malware de carga útil trata de espiar a la víctima para detectar su actividad de banca en línea, comparando los sitios que visitan con una extensa lista codificada de la banca brasileña y las URL de moneda digital. Si encuentra una coincidencia, crea una carpeta para almacenar capturas de pantalla, así como la cantidad de clics del mouse que el usuario activó mientras navegaba por los sitios bancarios. Los investigadores de FireEye dijeron que las capturas de pantalla se guardan continuamente como imágenes .jpg.

trojan


Campaña #2, FireEye examino los correos electrónicos maliciosos colgando enlaces en lugar de archivos adjuntos. Las URL apuntan a dominios legítimos y falsos, que luego redireccionan a los mismos sitios en la nube mencionados anteriormente, que alojan un archivo ZIP ligeramente diferente. Este contiene un archivo ejecutable malicioso que arroja un archivo VBS, que luego busca la misma herramienta de carga lateral y troyano del servidor C2.

https://www.fireeye.com/content/dam/fireeye-www/blog/images/Metamorfo/Fig15.png

Al igual que el troyano de la primera campaña, esta muestra busca actividad en sitios bancarios y de monedas digitales brasileños específicos; también realiza una verificación de código de país.

Sin embargo, este malware es ligeramente diferente, ya que muestra formularios falsos en la parte superior de los sitios bancarios e intercepta las credenciales de las víctimas. También puede mostrar una actualización falsa de Windows siempre que haya una actividad nefasta en el fondo.

"El uso de cadenas de infección de múltiples etapas hace que sea difícil investigar este tipo de campañas en todo momento", dijeron los investigadores de FireEye Edson Sierra y Gerardo Iglesias, en un análisis. "Los atacantes están usando varias técnicas para evadir la detección e infectar a los desprevenidos usuarios de habla portuguesa con troyanos bancarios. El uso de la infraestructura de nube pública para ayudar a entregar las diferentes etapas juega un papel particularmente importante en la entrega de la carga maliciosa ".

La técnica de usar una herramienta real de Windows para propósitos malos es una característica única de Metamorfo, agregaron; pero no es completamente nuevo. La táctica fue vista por primera vez por FireEye en el cuarto trimestre de 2017, cuando una campaña similar "malspam" entregó el mismo tipo de troyano bancario al usar un archivo JAR incrustado adjunto en el correo electrónico, en lugar de un archivo adjunto o enlace HTML. En la ejecución, el código Java extrajo automáticamente el archivo ZIP de Google Drive, Dropbox o Github.

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Etiquetas

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila