Los scripts maliciosos se afianzan en Brasil

Share this…

Si observábamos el mapa del malware en Brasil hace un año, hubiéramos notado que las dos amenazas principales eran los Downloaders que instalaban troyanos bancarios, y los propios troyanos bancarios. Hoy la situación sigue siendo la misma, pero con un condimento especial: mientras que antes las amenazas eran archivos .exe de Windows, hoy tenemos archivos .jar deJava, scripts de Visual Basic Script y de Javascript en el top 10 de amenazas.

A continuación vamos a analizar este cambio de plataforma de los cibercriminales, empezando por una amenaza en Javascript.

Para entender la situación, veremos el top 10 de amenazas en Brasil para los primeros cinco meses de 2016. La amenaza que se encuentra en primer lugar consiste en una detección genérica para scripts ofuscados; el payload final puede variar, pero veremos la conexión entre esta detección y los troyanos bancarios. No vamos a detenernos mucho más en explicar todas estas amenazas, pero vale la pena notar la cantidad de lenguajes o plataformas distintasutilizadas en Brasil hoy.

Nombre de Amenaza Nivel de Prevalencia
VBS/Obfuscated.G 10.52%
JS/Danger.ScriptAttachment 4.60%
VBS/Kryptik.FN 3.50%
Win32/Toptools.A 3.09%
JS/TrojanDownloader.Iframe.NKE 2.66%
Java/TrojanDownloader.Banload.AK 2.24%
Java/TrojanDownloader.Banload.AE 2.18%
Win32/Toptools.D 2.18%
JS/Adware.Agent.L 2.09%
JS/Toolbar.Crossrider.G 2.06%

En particular, en el Laboratorio de ESET Latinoamérica hemos podido observar una campaña en la que los cibercriminales están alojando sus amenazas en el servicio de cloud de MEO, en Portugal; en la mayoría de los casos estamos hablando de troyanos bancarios. La propagación se realiza a través de correos electrónicos con un enlace para descargar el malware.

Podemos tomar uno de esos archivos como ejemplo: Boleto_NFe_1405201421.PDF.js, detectado como VBS/Obfuscated.G por las soluciones de ESET.

Si bien el código del script se encuentra ofuscado, el cifrado utilizado es fácil de revertir. Incluso sin descifrarlo, ya podemos ver que se descarga un supuesto archivo .jpg en la carpeta ProgramData bajo el nombre flashplayer.exe, el cual luego es ejecutado.

script ofuscado javascript

Ese archivo, flashplayer.exe, es a su vez un Downloader de troyanos bancarios: descarga y deja en ejecución un tercer ejecutable de nombre Edge.exe. Este es detectado como una variante deWin32/Spy.KeyLogger.NDW, aunque no solo almacena los eventos de teclado, sino que es unbanker completo. Entre sus funcionalidades está la de obtener la dirección del sitio web que el usuario está navegando y comparar contra entidades bancarias, usando DDE, como habíamos descripto en “Cómo reconstruir lo que envía un troyano desde un sistema infectado”.

La diferencia es que esta vez, el troyano incluye código para una mayor cantidad de navegadores:

codigo comprueba navegadores

Sus strings están cifradas con una forma de XOR, y a continuación se muestran algunas de ellas. Queda en evidencia que se está tratando de robar credenciales de acceso a sitios bancarios de Brasil.

strings bancos brasil

Vemos cómo se está desarrollando el cibercrimen en Brasil, migrando a nuevas plataformas y utilizando diversos lenguajes de programación para intentar evadir las detecciones. Sus objetivos, sin embargo, no han cambiado demasiado: el robo de credenciales bancarias es lo que más ganancias les genera y es, por tanto, lo que más siguen explotando.

Muestras Analizadas

SHA-1 Nombre de archivo Detección
8ceaae91d20c9d1aa1fbd579fcfda6ecfdef8070 Boleto_NFe_1405201421.PDF.js VBS/Obfuscated.G
016bd00717c69f85f003cbffb4ebc240189893ad flashplayer.exe Win32/TrojanDownloader.Banload.XGT
c4c4f2a12ed69b95520e5d824854d12c8c4f80ab Edge.exe Variante de Win32/Spy.KeyLogger.NDW

Fuente:https://www.welivesecurity.com/