Tal cual comentamos en el post titulado Inscripción a Gran Hermano 2012 un tanto peligrosa, utilizando ingeniería social los creadores de malware aprovecharon el interés de las personas que quieren participar en el reality show Gran Hermano para propagar malware. En esta oportunidad analizaremos mas en profundidad el archivo ejecutable que es utilizado para realizar el robo de credenciales bancarias.

Esta archivo malicioso en particular, detectada por ESET NOD32 Antivirus como Win32/Spy.Banker.WQR Troyano, esta orientada al robo de datos de home banking de dos bancos de Argentina. Como podemos apreciar la URL de login de estos bancos aparecen en la captura.

En esta muestra, no solamente encontramos URLs de bancos sino que también contiene otras URLs con contenido interesante. Haciendo un análisis estático del binario, vemos que crea una sección en memoria la cual contiene varios dominios los cuales se utilizan para diferentes funciones.

 

En primer lugar están los logins a los bancos afectados los cuales ya mencionamos, también se encuentran dominios de los cuales el malware intenta descargar otros archivos maliciosos y por ultimo contiene dominios los cuales contienen archivos de texto con información codificada y varias cuentas de mail de usuarios infectados. Uno de estos últimos dominios contiene dos modulos PHP utilizados para enviar Spam.

Examinando esos dominios antes mencionados,  podemos ver que se trata de dominios legítimos, los cuales su seguridad fue vulnerada, posibilitando así el acceso al servidor y permitiendo que el usuario malicioso pueda modificar el contenido de carpetas que se encuentran en el.

La mayoría de las veces que un sitio es vulnerado, se trata de mantenerlo lo mas oculto posible para los archivos maliciosos subidos a esos servidores estén disponibles la mayor cantidad de tiempo posible.

Como vemos en la captura, en uno de esos sitios esto no ocurrió, ya que la persona que vulnero el sitio hizo un deface de la pagina colocando otra con su firma.

 

Los archivos de texto encontrados en los servidores vulnerados contienen información codificada en cadenas de dígitos hexadecimales, y varias listas de direcciones de correo, tanto de hotmail como de yahoo, entre otras.

 

Por ultimo entre todas las strings interesantes que encontramos en esta muestra, encontramos la siguiente frase en portugués con connotación religiosa "jesuscristoeopoderdedeusnossalva", como mencionamos anteriormente en el post Las 10 contraseñas más utilizadas en Brasil es común ver este tipo de frases cuando analizamos malware proveniente de Brasil.

Los creadores de malware aprovechan los temas del momento para realizar ataques, enviando spam disfrazados de noticias de ultimo momento. Aprovechando el potencial de dichas noticias, logran alcanzar a gran cantidad de usuarios desprevenidos y desprotegidos los cuales caen en estos engaños. En estos casos siempre recomendamos contar con una solución antivirus con capacidades de detección proactiva actualizada. De esta manera estarán protegidos contra este tipo de amenazas.

Juan Esteban Forgia
Malware Analyst