Malware bancario sin archivos roba credenciales de usuario

Una nueva campaña de malware se centra en el robo de credenciales de banca en línea, para recopilar direcciones de correo electrónico de negocios y para obtener acceso remoto a la máquina víctima.

Según el análisis de TrendMicro, el malware bancario sin archivos con múltipleLos accesorios BAT son capaces de establecer la conexióncon una dirección IP y descarga la carga útil del troyano PowerShell e instala la herramienta de pirateo y el ladrón de información. La campaña de malware está dirigida a usuarios de banca en línea de Brasil y Taiwán.

El malware roba los detalles de las cuentas bancarias del usuario y registra los datos ingresados ​​en los sitios web visitados por los usuarios y las credenciales de las máquinas registradas. Al tener los detalles exfiltrados, los atacantes pueden lanzar spishing phishing, apuntando a individuos específicos.

Cadena de infección. Malware bancario sin archivo

La infección comienza con la sin archivo troyano bancario, después de la infección inicial se conecta con una IP remota (hxxp: // 35 [.] 227 [.] 52 [.] 26 / mods / al / md [.] Zip) para descargar los códigos de PowerShell y luego descargar los ejecutables para conectarse con otras URL para descargar archivos.

Entonces cae a .El archivo LNK en la carpeta de inicio del sistema obliga a que el sistema se reinicie luego de tres minutos y crea una pantalla de bloqueo que obliga al usuario a ingresar las credenciales de inicio de sesión y al usar 'system'seguridad La función de inicio de sesión verifica las credenciales de inicio de sesión.

Además, envía las credenciales al servidor de comando y control y oculta su actividad maliciosa al eliminar todos los archivos en las carpetas de inicio y otro troyano reúne la dirección de correo electrónico de contacto abriendo Outlook, exfiltrada la dirección de correo electrónico y la envía al servidor C&C.

El malware también utiliza para eliminar una herramienta de pirateo RADMIN que le da a los atacantes acceso total al sistema infectado, al obtener acceso a la máquina infectada los atacantes pueden obtener registros de usuarios, obtener privilegios de administrador y sombrear las actividades de la pantalla.

Después de reiniciar y el usuario inicia sesión, se eliminan todos los Google.LNK lo reemplaza con archivos maliciosos y se oculta como extensión de Google Chrome, monitorea los sitios web que visitan los usuarios y busca las cadenas como cvv o digo de seguridad y supervisa las actividades de navegación de los usuarios.

"Teniendo en cuenta que los atacantes acotaron su objetivo, los ciberdelincuentes pueden estar en la etapa de investigación y desarrollo, reuniendo información de los tres bancos y sus usuarios para un ataque mayor", lee la publicación del blog TrendMicro.

Semrush sigue a tu competencia


Fecha actualización el 2019-03-07. Fecha publicación el 2019-03-07. Categoria: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers
malware