En los últimos días se ha detectado en
Hispasec un nuevo troyano bancario que utiliza una extensión de Chrome para
robar las credenciales de acceso bancario.
El pasado 23 de julio llegó a los
sistemas de detección y análisis de malware de Hispasec una nueva muestra de
troyano bancario que utiliza un nuevo esquema para el robo de datos bancarios.
Este nuevo esquema de funcionamiento
incluye dos componentes principales:
Configuración de un proxy malicioso en
la configuración del sistema operativo.
Uso de una extensión maliciosa para el
navegador Google Chrome que se encarga de redirigir las peticiones a las
páginas web que alojan el phishing bancario.
Infección
La infección se lleva a cabo a través
de un script para «wscript», que actua de ‘dropper‘, y cuyo código se encuentra
muy ofuscado. Este script es el encargado de instalar los dos componentes
necesarios.
En primer lugar configura el sistema
para utilizar un servidor proxy malicioso que se encargará de resolver y
responder las peticiones realizadas a la web de phishing.
Configuración del proxy a través del
registro del sistema
El script modifica el valor del registro «AutoConfigURL» para la configuración
de Internet, lo que permite no solo configurar un proxy malicioso en el equipo,
sino también mantener actualizada la dirección IP del proxy a utilizar.
A continuación, el script descarga un
fichero comprimido en formato ZIP que contiene la extensión maliciosa para
Google Chrome y un instalador legítimo de Google Chrome Canary.
Una vez descargado el ZIP, lo
descomprime e inicia el instalador de Google Chrome, sin importar si ya existe
una versión de Google Chrome instalada en el equipo. Una vez instalado y
configurado el navegador, se configura como navegador predeterminado.
Robo de Credenciales
En este momento, entra en juego la
extensión maliciosa, que solicita al navegador permisos para interceptar las
peticiones web a los dominios de las entidades bancarias afectadas y
bloquearlas.
Con estos permisos, la extensión puede
detectar el acceso por parte del usuario a la web del banco, y redirigir la
petición a otra URL en la que se aloja la web de phishing para robar las
credenciales de acceso.
Como podemos apreciar, las
redirecciones para cada entidad se realizan a subdominios «ww«, en lugar del
habitual «www«. Esto reduce la posibilidad de que el usuario detecte que no se
trata del dominio habitual.
Estos subdominios no se encuentran en
uso, por lo que será el servidor proxy malicioso el encargado de resolver los
nombres de dominio y responder con el contenido de la web de phishing.
Entidades afectadas
Las entidades afectadas por este
troyano bancario son entidades de Latinoamérica, entre las que se encuentran
BBVA, Banco Santander, BCI o Scotia Bank.
CONCLUSIONES
Tras el análisis realizado por el
equipo de análisis de malware de Hispasec, podemos ver que se trata de un nuevo
esquema de funcionamiento de troyano bancario. Si bien es cierto que existen
troyanos conocidos como «ProxyChanger» que modifican la configuración del
sistema para añadir un proxy malicioso que se encargue del robo de datos, en este
caso se introduce un componente adicional como es la extensión de Google Chrome
que apoya el ataque y lo hace efectivo.
Este tipo de ataques, permiten pasar
más desapercibidos, puesto que los motores antivirus no están suficientemente
preparados para la detección de extensiones maliciosas para el navegador,
además de hacer el ataque más difícil de identificar por parte del usuario.
Aunque el código del dropper se
encuentra muy ofuscado, no ocurre lo mismo con el código de la extensión.
Además, la funcionalidad de la extensión es bastante simple y se limita a
realizar una redirección hacia un subdominio que pasará desapercibido para el
usuario. Esto nos invita a pensar que se trata de una primera versión del
malware, y que en el futuro podríamos encontrar nuevas versiones más complejas
e incluso versiones que afecten a nuevas entidades bancarias más allá de
Latinoamérica.
Más información
Fuente: Hispasec