Los scripts maliciosos se afianzan en Brasil

Si observábamos el mapa del malware en Brasil hace un año, hubiéramos notado que las dos amenazas principales eran los Downloaders que instalaban troyanos bancarios, y los propios troyanos bancarios. Hoy la situación sigue siendo la misma, pero con un condimento especial: mientras que antes las amenazas eran archivos .exe de Windows, hoy tenemos archivos .jar de Java, scripts de Visual Basic Script y de Javascript en el top 10 de amenazas.

A continuación vamos a analizar este cambio de plataforma de los cibercriminales, empezando por una amenaza en Javascript.

Para entender la situación, veremos el top 10 de amenazas en Brasil para los primeros cinco meses de 2016. La amenaza que se encuentra en primer lugar consiste en una detección genérica para scripts ofuscados; el payload final puede variar, pero veremos la conexión entre esta detección y los troyanos bancarios. No vamos a detenernos mucho más en explicar todas estas amenazas, pero vale la pena notar la cantidad de lenguajes o plataformas distintas utilizadas en Brasil hoy.

Nombre de Amenaza Nivel de Prevalencia
VBS/Obfuscated.G 10.52%
JS/Danger.ScriptAttachment 4.60%
VBS/Kryptik.FN 3.50%
Win32/Toptools.A 3.09%
JS/TrojanDownloader.Iframe.NKE 2.66%
Java/TrojanDownloader.Banload.AK 2.24%
Java/TrojanDownloader.Banload.AE 2.18%
Win32/Toptools.D 2.18%
JS/Adware.Agent.L 2.09%
JS/Toolbar.Crossrider.G 2.06%

En particular, en el Laboratorio de ESET Latinoamérica hemos podido observar una campaña en la que los cibercriminales están alojando sus amenazas en el servicio de cloud de MEO, en Portugal; en la mayoría de los casos estamos hablando de troyanos bancarios. La propagación se realiza a través de correos electrónicos con un enlace para descargar el malware.

Podemos tomar uno de esos archivos como ejemplo: Boleto_NFe_1405201421.PDF.js, detectado como VBS/Obfuscated.G por las soluciones de ESET.

Si bien el código del script se encuentra ofuscado, el cifrado utilizado es fácil de revertir. Incluso sin descifrarlo, ya podemos ver que se descarga un supuesto archivo .jpg en la carpeta ProgramData bajo el nombre flashplayer.exe, el cual luego es ejecutado.

script ofuscado javascript

Ese archivo, flashplayer.exe, es a su vez un Downloader de troyanos bancarios: descarga y deja en ejecución un tercer ejecutable de nombre Edge.exe. Este es detectado como una variante de Win32/Spy.KeyLogger.NDW, aunque no solo almacena los eventos de teclado, sino que es un banker completo. Entre sus funcionalidades está la de obtener la dirección del sitio web que el usuario está navegando y comparar contra entidades bancarias, usando DDE, como habíamos descripto en “Cómo reconstruir lo que envía un troyano desde un sistema infectado”.

La diferencia es que esta vez, el troyano incluye código para una mayor cantidad de navegadores:

codigo comprueba navegadores

Sus strings están cifradas con una forma de XOR, y a continuación se muestran algunas de ellas. Queda en evidencia que se está tratando de robar credenciales de acceso a sitios bancarios de Brasil.

CifradaDescifrada
8488A24CF954F31E01070672D4C519DF0441E76D9CBF7FD03A6DF4050D0A72E4251F1B748AA642F12CE01808172409739587F641CE7CF9Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV2
38C2718B489BFA15C8040127DFcaixa.com.br
E417D014359537D7005082B466F655EB0652FE46EDinternetbankingcaixa
48F333C566F95E8AB5
bradesco
7B84B3B058F55035DB7C
bb.com.br
AA54E01ECD0F40E40B4F83B25AFFbancodobrasil
D36F85A24A8BDE1A379831D94E88C762D9093E
bancobrasil.com.br
1A2CDB6FD10745F964F454F5
[bb.com.br]
B87BBA4D8E8EC279AAEA7EB4
itau.com.br
56E116D575D673AC42
bancoita
A28CE9033E82D00F
30horas
D91428DA06479A42EB52B35384C8C67EB9
sicoobnet.com.br
3DE90638EB69F86C83C01D0F3790
sicoob.com.br
BC699F5F9F3392BD6FD3
santander
C374B77DAE13B2538BDF72A45686C47B
internetbanking
708BAC4EFB5DE1057E99
bnrisul--
19DE1BDC0D4080BF69FC5AFB369130CE7BDF
nordesteeletrnico
8A5B87EE5181D10B31A82FE00B0053954A4DEA6C84B74981DC7CA9
ww8.banrisul.com.brbrblink
C4778CAD58B41BCF7FC31A3AE52DA047FD193E81
ibpf.sicredi.com.br
FE38CC6A83C40A24DB77D60F329D3CF622B156F52BD5174A
banestesinternetbanking
9D59EF0F38993DE9110D43F62269FB39
banestes.com.br
FC3CE50B3743413B2163A08A858482E45FA295F766DF5CF452FE231E13
http://200.***.***.148/down02
62935D80BC020F75E862E2163B9E34CF0B41F269DD003C9DFA548D4C83EA43C9CC70F32225CD41D96394A73DC265DB64EA74F41CD27497C241FC669C429AFB52F518
https://googledrive.com/host/0B1**********eFg1MzJLUlZLdGs/cnf.jpg

Vemos cómo se está desarrollando el cibercrimen en Brasil, migrando a nuevas plataformas y utilizando diversos lenguajes de programación para intentar evadir las detecciones. Sus objetivos, sin embargo, no han cambiado demasiado: el robo de credenciales bancarias es lo que más ganancias les genera y es, por tanto, lo que más siguen explotando.

Muestras Analizadas

SHA-1Nombre de archivoDetección
8ceaae91d20c9d1aa1fbd579fcfda6ecfdef8070 Boleto_NFe_1405201421.PDF.js VBS/Obfuscated.G
016bd00717c69f85f003cbffb4ebc240189893ad
flashplayer.exeWin32/TrojanDownloader.Banload.XGT
c4c4f2a12ed69b95520e5d824854d12c8c4f80abEdge.exeVariante de Win32/Spy.KeyLogger.NDW

Créditos imagen: ©Ana Guzzo/Flickr

Autor , ESET

Síguenos