Archivo para 12 mayo, 2011
Análisis de un troyano bancario
mayo 12, 2011 7:35 pmEn esta oportunidad queremos compartir con ustedes un análisis de Win32/TrojanDownloader.Banload.PMI, un troyano que desde hace unos meses está siendo utilizado para propagar un ataque masivo de phishing en Brasil. En lo que respecta a este código malicioso, una vez que infecta un sistema, realiza la descarga de otros dos troyanos que, en conjunto, intentan robar las contraseñas de acceso de los usuarios a más de 16 bancos diferentes.
Al momento de comenzar el análisis de la muestra, se observó que la misma se encontraba comprimida con PKLite32, puntualmente la versión 1.1, un packer que intenta minimizar el tamaño del código malicioso como así también ocultar su verdadero objetivo y así intenta complicar su detección por parte de las distintas soluciones antivirus.
En situaciones en las que una muestra se encuentra empaquetada existen dos variantes que se pueden seguir. La primera es buscar y utilizar un desempaquetador para obtener el ejecutable o realizar esta tarea manualmente. En este caso puntual, se puede obtener el archivo original simplemente encontrando el punto de entrada real en dónde se empieza a ejecutar el código malicioso.
Para poder desenpaquetar esta muestra buscamos dentro de la misma el Entry Point, qué es la dirección de memoria en la cual comienza la verdadera ejecución de este código malicioso. Al comenzar con el análisis estático de la muestra vemos que comienza su ejecución en la dirección 004E8000, sin embargo, es 5 instrucciones más adelante en dónde se encuentra lo que se necesita para llegar a la muestra original. Cómo se puede observar en la siguiente imagen en la dirección 004E8014 se ejecuta la instrucción JMP OsamaExe.004A7C48.
Ver ms… »
A pesar de los anuncios realizados por Facebook y por Twitter indicando la posibilidad de utilizar HTTPS en sus servicios, muchos usuarios aún no han configurado sus cuentas, lo que implica, que podrían permanecer expuestos a determinados inconvenientes de seguridad. Conectarse a una red inalámbrica pública, y acceder a estos servicios sin utilizar el protocolo de seguridad, es un riesgo cada vez más grande para los usuarios, especialmente con herramientas como Firesheep al alcance de cualquiera.
El protocolo HTTPS es actualmente adoptado por la comunidad como un estándar para entidades financieras, ventas en línea y servicios que requieran envío seguro de usuarios, contraseñas y otros datos sensibles por la web. Para eso, hace uso de un mecanismo de cifrado basado en Secure Socket Layers (SSL) que crea un canal más seguro, entre el servidor y el cliente, para la transferencia de información.
Teniendo en cuenta que ambas redes sociales ya permiten acceder directamente con dicho protocolo, ¿por qué no hacer la configuración y evitar la exposición innecesaria? Veamos cómo se configura la navegación HTTPS en Facebook y Twitter.
Para poder configurar el HTTPS en Facebook, se debe elegir la opción “Configuración de cuenta” en el menú “Cuenta” de la esquina superior derecha. Luego, dirigirse hacia la pestaña de “Seguridad de la cuenta” y se encontrará la posibilidad de optar por la navegación segura:
En el caso de Twitter, el objetivo es el mismo, asegurar nuestras comunicaciones en pos de minimizar los riesgos de robo y fuga de información, especialmente en redes inalámbricas no seguras. La configuración también es sencilla. Para este caso, ir a la configuración de la cuenta y marcar la casilla “usar siempre HTTPS”, como se indica en la siguiente imagen:
¿Qué riesgos evitará el usuario que configure así sus redes sociales? Esencialmente, como ya se explicó, todos los ataques relacionados a la interceptación de información que viaja en texto claro (legíble) a través de redes de computadoras. Con el protocolo HTTPS, todos los datos – no solo el usuario y la contraseña – viajarán cifrados y serán ilegible para cualquier atacante en la red.
Recomendamos aplicar estas configuraciones a la brevedad, y vale destacar que no tienen un impacto en la usabilidad del servicio por parte de los usuarios. Por ese motivo, esperaremos que en un futuro próximo, este tipo de opciones, formen parte de las configuraciones por defecto de estas redes sociales, de modo que todos los usuarios puedan estar desde el comienzo más seguros.
Raphael Labaca Castro
Awareness & Research Specialist
Para aquellos que no estén al tanto, desde fines de Febrero se encuentra abierta la inscripción al nuevo Premio al mejor trabajo de investigación técnica en Seguridad Antivirus (PMTITSA) donde el ganador tendrá la posibilidad de viajar a la renombrada conferencia de seguridad DEFCON, donde se codeara con los hackers (White Hat) más reconocidos del mundo.
El concurso consiste en presentar un trabajo del tipo whitepaper de alto nivel técnico donde se detalle algún tema relacionado con la seguridad informática o antivirus y se haga mención al malware en al menos una sección del mismo.
El plazo de inscripción solía ser del el 7 de marzo al 2 de mayo del 2011, pero decidimos extenderlo hasta el 23 de Mayo del 2011. Antes de que termine dicho plazo se deberá enviar un correo a premioinvestigacion@eset-la.com solicitando el formulario de datos.
Una vez preseleccionados para participar del concurso, los trabajos deberán ser enviados a la misma dirección de correo hasta el viernes 10 de junio de 2011 inclusive.
Invitamos a aquellos que no se hayan inscripto aún, que lo hagan lo antes posible, y a quienes ya se inscribieron, que recuerden terminar y entregar el trabajo antes de concluida la fecha antes detallada.
Se aclara que la propiedad intelectual del trabajo realizado pertenece al autor y que ESET no publicará el mismo salvo con el consentimiento de este.
El viaje a Las Vegas, donde se realiza la conferencia, será del 01/08/2011 hasta el 07/08/2011 donde gozarán de todos los gastos pagos cómo se indica en las bases y condiciones del concurso.
Joaquín Rodríguez Varela
Malware Lab Engineer
