Al momento de hablar acerca de las amenazas informáticas para Latinoamérica,  no podemos dejar de lado los troyanos bancarios. Este tipo de ataques se focalizan en el robo de las credenciales de acceso a las cuentas de los usuarios a través de la utilización de códigos maliciosos e Ingeniería Social. En esta oportunidad vamos a compartir con ustedes el accionar de un malware que ataca a clientes de 5 bancos brasileños.

La campaña de propagación de este ataque comienza a través de correos falsos, uno de los canales más utilizados por los cibercriminales para lograr un mayor número de infecciones. Cuentas de correo cuyas credenciales han sido robadas en alguna campaña anterior se utilizan para enviar estos mensajes a todos sus contactos. Entonces aquellas víctimas potenciales que reciben el correo y caen en el engaño intentarán ver un supuesto video que no es más que un troyano detectado como BAT/Proxy.NAH.

Cuando se ejecuta este código malicioso en un sistema desprotegido, este descomprime dentro de la carpeta temporal del sistema una serie de archivos que serán utilizados para modificar el equipo con el objetivo de direccionar las conexiones del usuario a los servidores de phishing. Pero a diferencia de los casos que venimos reportando, en esta oportunidad no se trata de un ataque de pharming local tradicional sino que en lugar de modificar el archivo hosts se modifica la configuración del sistema a través de la creación de un proxy:

El listado de los sitios a los cual se va a realizar el ataque se encuentra en un servidor remoto, que es a dónde el código malicioso se conecta, esto lo podemos observar a través del análisis del tráfico de red. Se crean dos conexiones a la misma dirección URL, en la primera para registrar el equipo infectado y la segunda para descargar la configuración del proxy:

Ver más… »

Categories: Malware
2 Comments »