Una nueva campaña de malware se centra en el robo de credenciales de banca en línea, para recopilar direcciones de correo electrónico de negocios y para obtener acceso remoto a la máquina víctima.
Según el análisis de TrendMicro, el malware bancario sin archivos con múltipleLos accesorios BAT son capaces de establecer la conexióncon una dirección IP y descarga la carga útil del troyano PowerShell e instala la herramienta de pirateo y el ladrón de información. La campaña de malware está dirigida a usuarios de banca en línea de Brasil y Taiwán.
El malware roba los detalles de las cuentas bancarias del usuario y registra los datos ingresados en los sitios web visitados por los usuarios y las credenciales de las máquinas registradas. Al tener los detalles exfiltrados, los atacantes pueden lanzar spishing phishing, apuntando a individuos específicos.
Cadena de infección. Malware bancario sin archivo
La infección comienza con la sin archivo troyano bancario, después de la infección inicial se conecta con una IP remota (hxxp: // 35 [.] 227 [.] 52 [.] 26 / mods / al / md [.] Zip) para descargar los códigos de PowerShell y luego descargar los ejecutables para conectarse con otras URL para descargar archivos.
Entonces cae a .El archivo LNK en la carpeta de inicio del sistema obliga a que el sistema se reinicie luego de tres minutos y crea una pantalla de bloqueo que obliga al usuario a ingresar las credenciales de inicio de sesión y al usar 'system'seguridad La función de inicio de sesión verifica las credenciales de inicio de sesión.
Además, envía las credenciales al servidor de comando y control y oculta su actividad maliciosa al eliminar todos los archivos en las carpetas de inicio y otro troyano reúne la dirección de correo electrónico de contacto abriendo Outlook, exfiltrada la dirección de correo electrónico y la envía al servidor C&C.
El malware también utiliza para eliminar una herramienta de pirateo RADMIN que le da a los atacantes acceso total al sistema infectado, al obtener acceso a la máquina infectada los atacantes pueden obtener registros de usuarios, obtener privilegios de administrador y sombrear las actividades de la pantalla.
Después de reiniciar y el usuario inicia sesión, se eliminan todos los Google.LNK lo reemplaza con archivos maliciosos y se oculta como extensión de Google Chrome, monitorea los sitios web que visitan los usuarios y busca las cadenas como cvv o digo de seguridad y supervisa las actividades de navegación de los usuarios.
"Teniendo en cuenta que los atacantes acotaron su objetivo, los ciberdelincuentes pueden estar en la etapa de investigación y desarrollo, reuniendo información de los tres bancos y sus usuarios para un ataque mayor", lee la publicación del blog TrendMicro.
Fecha actualización el 2021-03-07. Fecha publicación el 2019-03-07. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers