Recientemente, se conocieron varias
campañas generalizadas de correo no deseado (spam spam) dirigidas a empresas
brasileñas con el objetivo de entregar troyanos bancarios. Nos referimos a
estas campañas como Metamorfo. A lo largo de las etapas de estas campañas,
hemos observado el uso de varias tácticas y técnicas para evadir la detección y
entregar la carga maliciosa.
Las técnicas usadas por muchos creadores de malware
latinoamericanos (y especialmente los brasileños) para lograr infectar a los
usuarios, se han basado tradicionalmente en la ingeniería social y no ha
sufrido grandes cambios en los últimos años. Lo habitual es que se incluya un
archivo adjunto o un enlace a una dirección web maliciosa concreta donde se
encuentra el código malicioso y, en la mayoría de ocasiones, este malware es un
troyano bancario.
Múltiples Campañas
Cuando llega un correo electrónico con este malware, podemos observar varios comportamientos: adjuntos arhivos.zip, PDF con redirecciones, archivos .html los cuales están orientados a descargar el malware en los equipos locales.
El archivo ZIP descargado contiene cuatro archivos. Dos son
archivos PE. El tercero es una herramienta legítima de Windows, pvk2pfx.exe,
que se utiliza para la carga lateral DLL y el último es un troyano bancario
malicioso como el DLL.
En el cuarto trimestre de 2017, una
campaña similar de correo basura entregó el mismo troyano bancario mediante el
uso de un archivo JAR incrustado adjunto en el correo electrónico en lugar de
un archivo adjunto HTML. En la ejecución, el código de Java descargó un archivo
ZIP de un sitio de alojamiento de archivos en la nube, como Google Drive,
Dropbox o Github. El archivo ZIP contenía una herramienta legítima de Microsoft
y el troyano malicioso.
Lista de dirección de comunicación del Malware
185.43.209.182
212.237.46.6
87.98.146.34
80.211.140.235
Recomendaciones
Cabe recordar que este tipo de amenazas sigue dependiendo
en gran medida de las técnicas de ingeniería social para poder propagarse. Es
por eso que, desde Arkavia Networks recomendamos extremar las precauciones a la
hora de abrir correos no solicitados y contar con la protección de un antivirus
actualizado capaz de detectar este tipo de amenazas.