Cibercriminales brasileños innovan en su tarea

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Es la primera vez que cibercriminales brasileños utilizan esta táctica de los albores cibercriminales en la región y su propósito es propagar malware bancario

No es novedad que cibercriminales brasileños intenten diferentes formas para engañar a los usuarios, pero no siempre lo hacen a través de nuevas técnicas. En esta oportunidad, recurrieron a una táctica de hace algunos años.

Un grupo latinoamericano de investigación acaba de identificar una campaña de malware bancario utilizando el método BOM para burlar los escáneres de correo electrónico e infectar a las víctimas.

Es la primera vez que esta técnica se utiliza en la región, y está dirigida especialmente a usuarios en Brasil y Chile.

Primero utilizada por criminales rusos para distribuir malware en sistemas Windows, esta técnica fue descubierta en 2013 y consiste en añadir el prefijo BOM (Byte Order Mark) para evitar la detección de algunos tipos de archivo.

La campaña depende casi enteramente de ataques estilo spear-phishingpara aumentar el número de víctimas.

El desafío es burlar a los analizadores de correo electrónico y usar un archivo aparentemente corrupto, pero infectado, para llegar a la bandeja de entrada de la víctima.

El primer indicador aparece cuando el usuario intenta abrir el archivo ZIP con el explorador predeterminado de archivos y obtiene el siguiente error:

Al intentar abrir el archivo comprimido utilizando el visor predeterminado del Explorador de Windows, el usuario verá un mensaje de error que indica que está dañado.

Al analizarlo, los expertos percibieron que el encabezado ZIP contiene tres bytes adicionales (0xEFBBBF), que representan el BOM, antes de la firma “PK” (0x504B), el estándar del ZIP.

El BOM usualmente se encuentra en archivos de texto con codificación UTF-8.

El punto es que algunas herramientas no reconocen este archivo como un ZIP, sino que lo identificarán como un archivo de texto y no podrán abrirlo.

Algunas utilidades como WinRAR y 7-Zip simplemente ignoran el prefijo y extraen su contenido correctamente.

Una vez que el usuario extrae el archivo con cualquiera de estas utilidades, este se ejecuta e infecta el sistema.

Después de ejecutar una secuencia de procesos que buscan evitar la detección de las acciones maliciosas, se descarga el malware principal: variantes de un malware bancario con funciones de RAT que queda latente en el equipo de la víctima hasta cuando el usuario intente acceder a su banca por Internet. En ese momento, comenzará a capturar tokens, código de acceso, fecha de cumpleaños, contraseña de acceso, entre otras formas de autenticación bancaria.

 

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris