Indicadores muestran la cooperación entre autores de troyanos bancarios de América Latina | WeLiveSecurity

Indicadores muestran la cooperación entre autores de troyanos bancarios de América Latina

Investigadores de ESET descubren muchos indicadores que muestran la estrecha cooperación que existe entre los autores de muchos troyanos bancarios que apuntan a América Latina.

Investigadores de ESET descubren muchos indicadores que muestran la estrecha cooperación que existe entre los autores de muchos troyanos bancarios que apuntan a América Latina.

ESET ha publicado un whitepaper que detalla sus hallazgos sobre la conexión que existe entre varias familias de troyanos bancarios latinoamericanos; un documento que también fue publicado por Virus Bulletin.

Durante mucho tiempo, los troyanos bancarios latinoamericanos fueron considerados como un grupo de malware. Los investigadores de ESET descubrieron que ese no es el caso y que, a pesar de tener mucho en común, entre los troyanos bancarios se pueden reconocer varias familias de malware distintas. A lo largo del último año publicamos una serie de artículos en los que analizamos el accionar de distintas familias de troyanos bancario de América Latina. Estas publicaciones se centran en los aspectos más importantes e interesantes de estas familias. Hasta ahora y como parte de esta serie, hemos desenmascarado a las siguientes familias de troyanos bancarios: Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro y Mekotio. En los próximos artículos analizaremos a Krachulka, Lokorrito, Numando, Vadokrist y Zumanek.

En este whitepaper analizamos a estas familias, pero desde otra perspectiva. En lugar de enfocarnos en los detalles que presenta cada familia y resaltar sus características únicas, nos centramos en lo que tienen en común. Si ha estado siguiendo nuestra serie, es posible que haya notado algunas de las similitudes existentes entre varias de estas familias de troyanos bancarios, como el uso de un mismo -y poco común- algoritmo para cifrar strings o similares algoritmos de generación de dominio (DGA, por sus siglas en inglés) para obtener direcciones de los servidores de C&C.

Las primeras similitudes que detectamos están en la implementación de estos troyanos bancarios. La más obvia de todas está relacionada con la casi idéntica implementación de los componentes centrales de los troyanos, como es el envío de notificaciones al operador, el escaneo periódico de las ventanas activas según el nombre o título, y los ataques a través de falsas ventanas emergentes diseñadas cuidadosamente con el objetivo de obtener información confidencial de víctimas. Además de eso, estas familias de malware comparten bibliotecas de terceros poco comunes, algoritmos de cifrado de strings y técnicas de ofuscación de strings y binarios.

Sin embargo, las similitudes no terminan ahí. Al analizar las cadenas de distribución de estas familias de malware nos dimos cuenta que también comparten la misma lógica: generalmente buscan un marcador (un objeto, como un archivo o un valor de clave de registro que es utilizado para indicar que la máquina ya ha sido comprometida), y descargan datos en archivos ZIP. Además de eso, hemos observado cadenas de distribución idénticas que terminan con la distribución de múltiples troyanos bancarios latinoamericanos. También vale la pena mencionar que desde 2019, la gran mayoría de estas familias de malware comenzaron a utilizar Windows Installer (archivos MSI) como parte de la primera etapa de la cadena de distribución.

Los troyanos bancarios latinoamericanos también comparten métodos de ejecución. Suelen traer sus propias herramientas empaquetadas en los archivos ZIP antes mencionados. Los dos métodos más comunes son la carga lateral de DLL y el abuso de un intérprete de AutoIt legítimo. Además, al usar el primero de los métodos, varias familias abusan de las mismas aplicaciones vulnerables para ese propósito (el llamado Bring Your Own Vulnerable Software) .

El término “troyano bancario latinoamericano” se debe a la región a la que suelen apuntar estos troyanos bancarios: América Latina. Sin embargo, desde finales de 2019, vemos que varios de ellos añadieron a España y Portugal a la lista de los países a los que apuntan. Además, como si fuese otro movimiento coordinado, diferentes familias utilizan en sus últimas campañas plantillas de correo spam similares.

Dada la cantidad de similitudes, uno debería esperar que también compartan las ventanas emergentes falsas que utilizan estos troyanos bancarios. De hecho, parece ser lo contrario. A pesar de que las ventanas tienen una apariencia similar (ya que están diseñadas para engañar a los clientes de las mismas entidades financieras), no hemos detectado el uso de ventanas idénticas por parte de varias familias.

Dado que no creemos que sea posible que autores de malware independientes presenten tantas ideas en común y tampoco creemos que un grupo sea responsable de mantener todas estas familias de malware, concluimos que se trata de múltiples actores de amenazas que cooperan entre sí. Puede encontrar información más detallada sobre las similitudes que identificamos en el whitepaper.

Técnicas de MITRE ATT&CK

En la tabla (en inglés) que publicamos más abajo, que es un agregado de las técnicas basadas en la tabla estándar MITRE ATT&CK, ilustramos muchas de las características que comparten los troyanos bancarios latinoamericanos. No es una lista exhaustiva, sino una que se centra en las similitudes, y muestra lo siguiente:

  • el phishing es el vector de ataque más común
  • dependen en gran medida de los lenguajes de scripting, principalmente VBScript
  • La clave de ejecución del registro o la carpeta de inicio son los métodos más comunes de persistencia
  • de alguna manera, todos ofuscan ya sea payloads o datos de configuración
  • favorecen mucho la carga lateral de DLL
  • para robar credenciales tienden a usar ventanas emergentes falsas o keyloggers
  • dedican un considerable esfuerzo a recopilar capturas de pantalla y realizar escaneos en busca de software de seguridad
  • prefieren algoritmos de cifrado personalizados sobre los establecidos
  • no filtran todos los datos recolectados al servidor de C&C, sino que también usan diferentes ubicaciones

Nota: Esta tabla se creó utilizando la versión 7 del framework de MITRE ATT&CK.

TacticIDNameAmavaldoCasbaneiroGrandoreiroGuildmaKrachulkaLokorritoMekotioMispaduNumandoVadokristZumanek
Initial AccessT1566.001Phishing: Spearphishing Attachment
T1566.002Phishing: Spearphishing Link
ExecutionT1059.005Command and Scripting Interpreter: Visual Basic
T1059.007Command and Scripting Interpreter: JavaScript/JScript
T1059.003Command and Scripting Interpreter: Windows Command Shell
T1059.001Command and Scripting Interpreter: PowerShell
T1047Windows Management Instrumentation
T1059Command and Scripting Interpreter
PersistenceT1547.001Boot or Logon Autostart execution: Registry Run Keys / Startup Folder
T1053.005Scheduled Task/Job: Scheduled Task
Defense EvasionT1140Deobfuscate/Decode Files or Information
T1574.002Hijack Execution Flow: DLL Side-Loading
T1497.001Virtualization/Sandbox Evasion: System Checks
T1218.007Signed Binary Proxy Execution: Msiexec
T1036.005Masquerading: Match Legitimate Name or Location
T1197BITS Jobs
T1112Modify Registry
T1218.011Signed Binary Proxy Execution: Rundll32
T1027.001Obfuscated Files or Information: Binary Padding
T1220XSL Script Processing
Credential AccessT1056.002Input Capture: GUI Input Capture
T1056.001Input Capture: Keylogging
T1555.003Credentials from Password Stores: Credentials from Web Browsers
T1552.001Unsecured Credentials: Credentials In Files
DiscoveryT1010Application Window Discovery
T1518.001Software Discovery: Security Software Discovery
T1082System Information Discovery
T1083File and Directory Discovery
T1057Process Discovery
CollectionT1113Screen Capture
T1115Clipboard Data
Command and ControlT1132.002Data Encoding: Non-Standard Encoding
T1571Non-Standard Port
T1132.001Data Encoding: Standard Encoding
T1568.002Dynamic Resolution: Domain Generation Algorithms
T1568.003Dynamic Resolution: DNS Calculation
ExfiltrationT1048Exfiltration Over Alternative Protocol
T1041Exfiltration Over C2 Channel

Como se puede apreciar, los troyanos bancarios latinoamericanos, aunque tienen sus diferencias, tienen muchas características en común.

Newsletter

Discusión