Lo Último

Fecha publicación: viernes, mayo 13, 2016
Publicada por Neza Panorama Informativo

TROYANO ATACA BANCOS DE EE.UU Y MÉXICO QUE USAN FIDDLER

Se ha descubierto una nueva cepa de malware que roba información a través del phishing y la imitación de páginas bancarias.
De acuerdo con los investigadores de Zscaler, hace seguimiento de ciertas URL (incluidas la del segundo banco más grande de México, Banamex) con el objetivo de interceptar los sitios web y reemplazarlos con proxies mediante el uso de la popular aplicación para bibliotecas Fiddler, que está constantemente actualizando los dominios que son objetivo de ataques.
ThreatLabZ de Zscaler encontró el troyano, escrito en .NET, en abril. Los investigadores dijeron que el malware tiene origen en español y fue primeramente encontrado atacando a usuarios en EE.UU. y México.
“El segundo banco más grande de México, Banamex, parece ser el objetivo principal de este troyano que roba información de credenciales y realiza fraude financiero”, dijeron los investigadores en el análisis. “Sin embargo, los autores pueden fácilmente agregar más objetivos ya que ellos están actualizando activamente la lista cada 10 minutos”.
Como muchos ataques hoy en día, el ciclo de infección comienza con un poco de ingeniería social. Los correos de phishing contienen un payload con instalador y doble extensión, “curp.pdf.exe” en un intento de colocarlo como un archivo PDF para el usuario final. El payload del malware no tiene un icono de archivo PDF embebido, así que el usuario verá el archivo con un icono de aplicación genérica.
Una vez que la víctima da clic, el instalador ejecuta y descarga el payload que roba las credenciales bancarias: el légitimo Fiddler Proxy Engine para las aplicaciones de .NET, que los autores del malware están empleando como la principal funcionalidad para el robo de información, y el framework JSON de código abierto, que emplean para el análisis de los datos de la respuesta del servidor Command & Control (C&C) y convertirlos en formato XML.
Una vez que el programa ha sido descargado, se establece para permanecer activo mediante la generación de una entrada clave de registro automático de inicio en los equipos que ejecutan Windows XP. Entonces el malware emplea Json.NET, una biblioteca de clases legítima de .NET, para recolectar información como “MachineName”, el “UserName”, “systeminfo” y “hostip”.
El servidor C&C envía un archivo de configuración que contiene una lista de tuplas dominio-a-IP que son usadas principalmente para que el malware secuestre peticiones de usuario a dominios de bancos, entonces redirecciona a un servidor malicioso que aloja un sitio falso donde las víctimas son alentadas a ingresar sus credenciales.
“Regularmente vemos múltiples payloads basados en .NET pero este troyano en particular llamó nuestra atención debido a que usa tanto una aplicación popular de bilbioteca, Fiddler, como Json.NET en su operación”, dijeron los investigadores.
Fuente: Infosecurity AA

Editor

Publicada por Neza Panorama Informativo en viernes, mayo 13, 2016. Archivada en . Sigue nuestras publicaciones vía RSS RSS 2.0. Apóyanos para mejorar. Deja un comentario.

Por Neza Panorama Informativo en viernes, mayo 13, 2016. Archivada en . Sigue nuestras publicaciones vía RSS RSS 2.0. Deja un comentario

0 comentarios for "TROYANO ATACA BANCOS DE EE.UU Y MÉXICO QUE USAN FIDDLER"

Leave a reply

Más vistos