Kaspersky Lab ha descubierto un sofisticado troyano bancario contra los usuarios brasileños y PowerShell
La amenaza, con nombre Trojan-Proxy.PowerShell.Agent.a, aprovecha la utilidad de PowerShell de Microsoft. Se considera una de las más complejas muestras de malware descubiertos hasta ahora.
El malware es recibido a través de una campaña de phishing, los mensajes maliciosos aparecen como enviados desde un operador de telefonía móvil. hackers utilizan un archivo adjunto malicioso .PIF (Información de archivos de programa) para comprometer a las víctimas. Los archivos PIF contienen aplicaciones MS-DOS cómo ejecutar en entornos Windows, que pueden incluir archivos ejecutables como BAT, COM o EXE que se ejecutan de forma automática una vez que el archivo de host se está ejecutando.
El Trojan-Proxy.PowerShell.Agent.a observado por Kaspersky es capaz de modificar la configuración del proxy en Internet Explorer para secuestrar a los usuarios páginas de phishing para los bancos.
Aqui teneis una descripción de lo que hace este malware: "Después de que se ejecute el archivo se cambia la configuración de proxy en Internet Explorer a un servidor proxy malicioso que redirecciona las conexiones a páginas de phishing para los bancos brasileños. Es la misma técnica utilizada por los PAC maliciosos que hemos descrito en 2013, pero esta vez, no se utilizan los PAC, los cambios en el sistema se realizan mediante una secuencia de comandos PowerShell."
El malware también funciona en Firefox y Chrome, intenta eludir las directivas de ejecución de PowerShell de iniciar el proceso "powershell.exe" y la línea de comandos "-executionpolicy Bypass -File% TEMP% \ 599D.tmp \ 599E.ps1".
El malware modifica las prefs.js de archivos, cambiar la configuración del proxy en esta forma, los usuarios que intentan acceder a sitios web de los bancos que figuran en la secuencia de comandos que va a ser redirigido a una página de phishing alojado en el servidor proxy malicioso.
"Los dominios de delegación utilizadas en el ataque se enumeran a continuación. Todos ellos utilizan los servicios de DNS dinámico y su objetivo es redirigir todo el tráfico a un servidor ubicado en los Países Bajos (89.34.99.45), donde hay varias páginas de phishing para los bancos: "
gbplugin . [removed] .com.br
moduloseguro . [removed] .com.br x0x0. [removed] .com.br X1x1. [removed] .com.br
Brasil es muy prolífico para el desarrollo de malware bancario debido a la gran inclinación de los brasileños en el uso de los servicios de banca en línea.
Brasil fue el país con el mayor número de infecciones de troyanos bancarios en Q1 del 2016.
