Un nuevo malware llamado KillDisk afecta a las instituciones financieras de América Latina para atacar las redes SWIFT y obtener acceso a los sistemas que se conectan al banco con una organización infectada
La mayoría de las instituciones financieras están conectadas con la red SWIFT (red mundial de telecomunicaciones financieras interbancarias) en todo el mundo para enviar y recibir información sobre transacciones financieras en un entorno seguro, estandarizado y confiable.
El análisis de los investigadores revela que esta es la nueva variante de la versión anterior de KillDisk que está realizando la limpieza de MBR en los sistemas afectados.
Las actividades de carga útil dificultan determinar que el ataque fue motivado por una campaña ciberdelincuente o un ataque coordinado.
Según el mensaje de error durante la prueba, este malware indica que inicialmente afectó al sector de arranque de la máquina Víctimas.
El inició del ataque en mayo de 2018 y, durante la fase de análisis, rompió el sector de arranque cuando el analista ejecutó la máquina de prueba.
Un análisis inicial del archivo reveló que se creó utilizando Nullsoft Scriptable Install System (NSIS), una aplicación de código abierto utilizada para crear programas de instalación.
Los autores de malware lo llamaron "MBR Killer" para esta aplicación y la muestra de malware estaba protegida por VMProtect, un producto para evadir y defender contra la ingeniería inversa.
Según Trend Micro, funciona de las siguientes maneras para comprometer a las víctimas y borrar el MBR.
- Utiliza la interfaz de programación de aplicaciones (API) CreateFileA para \\. \PHYSICALDRIVE0 para recuperar el control del disco duro.
- Sobrescribe el primer sector del disco (512 bytes) con "0x00". El primer sector es el MBR del disco.
- Intentará realizar las rutinas anteriores (pasos 1-2) en \\. \PHYSICALDRIVE1 , \\. \PHYSICALDRIVE2 , \\. \PHYSICALDRIVE3 , y así sucesivamente, siempre que haya un disco duro disponible.
- A continuación, obligará a la máquina a apagarse a través de API ExitWindows
KillDisk borrará todos los datos de la unidad física después de la infección completa usando la rutina anterior.
Al llamar a las API, el ejecutable principal soltará el archivo del componente %User Temp%/ns {5 random characters}.tmp/System.dll.
Fecha actualización el 2021-06-11. Fecha publicación el 2018-06-11. Categoría: hackers. Autor: Oscar olg Mapa del sitio Fuente: gbhackersEl archivo ejecutable principal cargará el archivo de la biblioteca de enlace dinámico (DLL), que tiene la función de exportación "Llamar" utilizada para llamar a las API. Dijo Trend Micro.
