Malware dirigido a sitios web financieros en Chile


La unidad de investigación de amenazas avanzadas de Arkavia Networks, ha identificado a través de sus procesos de búsqueda de nuevas amenazas y malware de día cero, una variante de un troyano bancario dirigido a los usuarios chilenos.



El malware identificado a través de nuestras soluciones de simulación de amenazas utiliza métodos cada vez más sofisticados, con el objetivo de no ser detectado en sus actividades de fraude o engaño a los usuarios que navegan en Internet. 



En este informe se presenta evidencia del malware que aun no es conocido por las diversas plataformas de Antivirus, el cual tiene la capacidad de al ser ejecutado, detectar la navegación del usuario en búsqueda de cualquier dirección hacia una entidad financiera chilena. Si el usuario navega hasta estos portales el malware redireccionará el tráfico a través de un proxy ilícito, por lo que el ciberdelincuente observará y obtendrá cualquier clave de acceso utilizada en dicho portal.



El malware tiene una programación avanzada; desde el momento que se ejecuta en el equipo de la víctima se inyecta en procesos validos del sistema para no ser detectado y se prepara para cuando el usuario se dirija a sitios web de algún banco.



El malware puede ser distribuido a través de falsas actualizaciones de navegadores, correos electrónicos, y descarga de páginas web maliciosas que intentará que el usuario ejecute el archivo infectado.



RECOMENDACIONES



1.       No descargar actualizaciones de aplicaciones sospechosas en sitios WEB.

2.       No ejecutar archivos sospechosos.

3.       Mantener actualizados los antivirus.

4.       Bloquear a nivel de plataformas las direcciones IP, Hashes y URL asociadas al malware.

5.       Validar la dirección del navegador cuando se accede a sitios web de banca.

6.       Evitar ingresar credenciales o datos si se observan comportamientos como: “ww.entidad.com”, o un cambio el HTTPS.

7.       Es importante que siempre se muestre dicho emblema en el sitio web

 


INDICADORES DE COMPROMISO



Direcciones IP asociadas al Malware:

1.       95.201.14.235

2.       192.227.248.136 (IP de control de malware)

3.       144.208.127.32

4.       212.247.14.24

Hashes

MD5 5466517c956a0630cd818bda657d4aa3

SHA1 2afbcc360941e58899cf9f7f7a55d18895e5a151

SHA256 5d72c381ea2f565670480d2f49bcc435a3c82b71eeaba32ca9fa3bf168665dbe



URL asociada al malware:

1.       www.osmelhorespreco.com


Archivos asociados:

1.       .ZIP (comprimido)

2.       VBS (Script)



ANÁLISIS

1.       El VBS al ejecutarse obtiene información del sistema del computador, nombre del equipo, hardware, versiones del BIOS. Localiza que navegador está instalado en el computador y verifica la cantidad de memoria para descubrir si se trata de un equipo físico o virtual (por la cantidad de memoria).

2.       El malware ejecuta un script que redirecciona las sesiones del navegador.

3.       E el código hace referencia a portales bancarios, intentando utilizar un proxy sospechoso cada vez que se detecta alguna URL orientada a banca.


Decodificando el malware



Se crean procesos nuevos a nivel de Windows.



Se observan las URL detectadas como maliciosas y cargadas a nivel de memoria.



Detallamos la actividad a nivel de red, donde podemos evidenciar las direcciones IP expuestas, la descarga del archivo, el control a nivel de DNS y la ejecución del script en memoria.



En la siguiente gráfica observamos la ejecución del script en diferentes procesos del sistema operativo donde se inyecta de forma arbitraria. 



El malware descarga 3 archivos para ejecutarse.



El archivo al ejecutarse se elimina del origen intentando de borrar sus huellas.



Al intentar ingresar a la URL: www.osmelhorespreco.com podemos evidenciar que intenta descargar una falsa actualización de Chrome, estilo “Fake Update”. 




Proceso de infección

Nombre

Adobe,1,Adware,3,android,23,Antivirus,2,Apple,13,Apps,10,Arkavia Networks,12,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,98,ciberseguridad,68,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,5,Deep Web,5,Ecommerce,1,Empresas,102,Eventos,4,Exploits,4,F5 Networks,1,Facebook,5,Firmware,1,google,24,Hacking,72,Hardware,7,Hosting,1,Industria,8,Instagram,2,Intel,2,Internacional,39,Internet,30,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,21,Malwares,32,Microsoft,20,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,1,phishing,9,Protocolos,11,Ransomware,5,Recomendaciones,14,Redes,26,redes sociales,11,Rootkit,1,Salud,2,Servicios,5,Smartphones,26,Software,20,Spyware,10,updates,21,Vulnerabilidades,56,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: Malware dirigido a sitios web financieros en Chile
Malware dirigido a sitios web financieros en Chile
https://3.bp.blogspot.com/--0bptYYt5hY/W4RB-3xhzyI/AAAAAAAAA1Q/Hz6L9p0ihh0CdUwAlhq2w6HBuJFK5Zp-ACLcBGAs/s640/IMG206.jpg
https://3.bp.blogspot.com/--0bptYYt5hY/W4RB-3xhzyI/AAAAAAAAA1Q/Hz6L9p0ihh0CdUwAlhq2w6HBuJFK5Zp-ACLcBGAs/s72-c/IMG206.jpg
Arkavia Networks News
https://www.arkalabs.cl/2018/08/malware-dirigido-sitios-web-financieros.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2018/08/malware-dirigido-sitios-web-financieros.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy