Los hackers siguen empleando nuevas técnicas para evadir la detección de antivirus y otros productos de seguridad. Esta vez comenzaron a usar la técnica de BOM informada anteriormente y ampliamente utilizada.
Anteriormente, los grupos de hackers rusos utilizaban esta técnica para modificar el archivo de hosts en los sistemas Windows. El Byte Order Mark adicional ayuda a los grupos de actores de amenazas a permanecer bajo el radar.
Los investigadores de kaspersky detectaron una nueva campaña que depende del phishing dirigido a entregar los archivos dañados a la bandeja de entrada de la víctima.
Cuando el usuario intenta abrir el archivo ZIP con el explorador predeterminado, se bloquea y muestra el siguiente error.
“En lugar de tener el encabezado ZIP normal que comienza con la firma“ PK ”(0x504B), tenemos tres bytes adicionales (0xEFBBBF) que representan la marca de orden de bytes (BOM) que generalmente se encuentran en los archivos de texto UTF-8. Algunas herramientas no reconocerán este archivo como un formato de archivo ZIP, sino que lo reconocerán como un archivo de texto UTF-8 y no podrán extraer la carga maliciosa ", lee la publicación del blog de Kaspersky.
Pero los mismos archivos se pueden abrir a través de utilidades de terceros como WinRAR y 7-Zip. Una vez que el archivo extrae el malware se ejecuta y comienza el proceso de infección. El ataque se dirige principalmente a usuarios que usan utilidades de terceros.
El ejecutable malicioso es un cargador para cargar la carga útil principal que se incrusta con la sección de recursos principal.
La fuente de malware es una DDL con función BICDAT que está cifrada con el algoritmo basado en XOR. Luego, la biblioteca descarga la segunda etapa de la carga útil, que es el archivo ZIP protegido por contraseña.
El contenido de la carga útil descargada se cifra con las mismas funciones que la carga útil integrada. Después de extraer todos los archivos requeridos, la carga útil final se lanza con el malware Banking RAT.
El malware RAT busca la siguiente información en la máquina afectada: Código de tarjeta de acceso, Fecha de nacimiento, Contraseña de cuenta, Contraseña de banca por internet, Firma electronica
Fecha actualización el 2021-03-29. Fecha publicación el 2019-03-29. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers Version movil