Ivestigadores de Arbor Networks han descubierto un nuevo troyano bancario, llamada Matrix Banker, que está segmentando América Latina.
El código malicioso parece estar aún en fase de desarrollo, la mayoría de las víctimas se encontraban en México y Perú.“Al principio, lo hemos llamado 'Matrix Banker’ en función de su mando y panel de la conexión de control (C2), pero parece que ‘Matrix Admin’es una plantilla disponible para el framework de desarrollo web Bootstrap. Proofpoint dice que “Win32/RediModiUpd” basado en una cadena de depuración de una muestra anterior.” Segun Arbor Networks.
El cargador inicial de la matrix gana persistencia en el Registro Run, extrae e inyecta una DLL en el más popular navegador de Internet, incluyendo Chrome, Firefox, Internet Explorer o Edge.
La DLL principal se inyecta en un navegador para conectar funciones del navegador y ejecutar un ataque man-in-la-Browser.
“Una vez que el archivo DLL principal se inyecta en un navegador, se inicia enganchando las funciones del navegador apropiados (por ejemplo PR_Read y PR_Write para Firefox) para la configuración de un‘ hombre-en-el-browser ’(MITB).”, Señala el informe. “A continuación, llama a casa a su servidor C2 para obtener el WebInject config.
El software malicioso contacta con el servidor C & C para obtener la configuración WebInject.
Matrix Banker es el primer malware que codifica la encripta y la respuesta del servidor C & C con el algoritmo de cifrado Salsa20.Salsa20 es un cifrado de flujo no patentado desarrollado por Daniel Bernstein, es el mismo algoritmo utilizado por el ransomware Petia para cifrar tabla maestra de archivos víctimas.
“Si bien funcional, el WebInject formato parece estar en construcción.” Estado del informe. “Muestras anteriores utilizan un formato diferente, más simple y hay mucho trabajo por hacer para ponerse al día con los estándares de la industria Zeus webinjects .”
Los expertos notaron que el malware utiliza una redirección muy difícil y eficaz a una página de phishing que parece una copia perfecta de la página de inicio de sesión de la entidad dirigida “.
Los investigadores creen que no es posible en esta fase para predecir el impacto del malware a gran escala, la única certeza es que la amenaza está en constante desarrollo y la orientación instituciones financieras en la naturaleza.
