Nuevo Malware Bancario Roba Credenciales Ataca a EE.UU. y Canadá

[post-views]
diciembre 29, 2020 · 3 min de lectura
Nuevo Malware Bancario Roba Credenciales Ataca a EE.UU. y Canadá

El sector bancario siempre ha sido un objetivo atractivo para los ciberdelincuentes. Después del surgimiento de Zeus y Gozi en 2007, secciones trojanos bancarios destacados han copado los titulares vaciando cuentas de clientes. Recientemente, los investigadores de seguridad han detectado otro miembro de la familia de malware financiero. Esta vez, la campaña está dirigida al sector bancario de EE. UU. y Canadá, el cual ha sido atacado por un nuevo ladrón de credenciales desde inicios de 2020.

Resumen de la Campaña

Mientras que la actividad maliciosa se originó en los primeros meses de 2020, investigadores de seguridad detectaron el nuevo ladrón de credenciales solo en el tercer trimestre de 2020. Evidentemente, aplica técnicas efectivas de evasión. En primer lugar, el malware está compuesto en lenguaje de scripting AutoHotKey (AHK), lo que significa que podría lanzarse sin un compilador incorporado en un PC comprometido. En segundo lugar, la amenaza carga cada componente malicioso por separado, utilizando distintos scripts de AutoHotKey para varios objetivos. Una combinación de estas características permite que el ladrón de credenciales permanezca oculto a los investigadores y esquive la detección en sandbox.

Otro aspecto notable de esta campaña maliciosa es que podría lanzarse dentro de un modelo de «hack-for-hire». Los componentes del software malicioso están estrictamente sistematizados. Además, se proporcionan comentarios de instrucciones detalladas para la función principal y las variables. Estos son indicadores de que el malware podría haber sido desarrollado para ser utilizado como un servicio. Es notable que las instrucciones están escritas en ruso, lo que indica un posible país de origen para los desarrolladores.

Nuevas Capacidades del Malware Bancario

Una cadena de infección multietapa comienza con documentos Excel con macros, presumiblemente distribuidos a través de malspam y spear-phishing. En el caso de que una víctima sea engañada para habilitar una macro VBA AutoOpen, el documento descarga y lanza el script del cliente descargador AutoHotKey (AHK) (adb.ahk) con la ayuda de un compilador de scripts AHK portátil (adb.exe). En este contexto, adb.ahk se utiliza para persistencia y para marcar objetivos. En particular, utiliza el número de serie del volumen de la unidad C para producir ID personalizadas para cada víctima. Este ID permanece constante y se utiliza para rastrear infecciones exitosas.

 Después de la compilación y la persistencia lograda, el ladrón de credenciales deja un «sqlite3.dll» en el dispositivo afectado. Este DLL lanza consultas SQL para recuperar datos de inicio de sesión de una amplia gama de navegadores, incluidos Microsoft Edge, Google Chrome, Opera, Firefox e Internet Explorer (IE). Luego, las credenciales robadas son descifradas y enviadas al servidor C2 a través de una solicitud HTTP POST. Cabe destacar, el componente ladrón de contraseñas de IE utiliza un código malicioso de código abierto convertido al lenguaje AutoHotKey, mientras que otros componentes son personalizados y nativos de AHK.

Detección de Ataques del Ladrón de Credenciales

Considerando las capacidades evasivas del nuevo malware AutoHotKey, la detección proactiva de ataques es una tarea prioritaria. Encuentre los rastros de un ladrón de credenciales descubierto recientemente que apunta a EE. UU. y Canadá con contenido de detección gratuito lanzado en el Threat Detection Marketplace por Osman Demir

https://tdm.socprime.com/tdm/info/eBKM4Wg36Rhi/nEbpj3YBmo5uvpkj1M6F/

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

MITRE ATT&CK: 

Tácticas: Acceso a Credenciales, Persistencia, Comando y Control

Técnicas: Credenciales de navegadores web (T1503), Modificación de accesos directos (T1023), Protocolo de capa de aplicación estándar (T1437)

Regístrese gratis en el Threat Detection Marketplace y encuentre más contenido valioso de SOC para la detección proactiva de ataques. Sea bienvenido a unirse a nuestro Programa de Recompensas de Amenazas para crear sus propias reglas Sigma y convertirse en parte de la comunidad de caza de amenazas de SOC Prime. 

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Últimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Últimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko