En las últimas semanas, los investigadores de ESET Latinoamérica han  trabajado en el análisis y la investigación de los trojanos que afectan las computadoras brasileñas en campo bancario. Los criminales que están cometiendo esta particular amenaza que surgió con una estructura interesante para engañar a los usuarios y modificar sus sistemas para robarles información privada.  Para lograr su objetivo, el malware utiliza un plugin de Google Chrome para olfatear las actividades de los usuarios y enviar las credenciales robadas a los criminales por correo electrónico usando un sitio web del gobierno brasileño.

Trojanos bancarios son el tipo más lucrativo de los ataques que los ciberdelincuentes utilizan en el país y una de las amenazas más comunes en Brasil. El objetivo de este tipo de malware es robar las credenciales de la cuenta bancaria de los usuarios con el fin de robarles su dinero, permaneciendo sin ser detectado y accediendo a ellas con moderación.

Como ejemplo de este tipo de malware, la amenaza detectada por productos ESET como MSIL/Spy.Banker.AU se extendió a través de una campaña de spam, infectando la computadora del usuario e instalando el Plugin malicioso de Google Chrome para espiar las actividades de la víctima en internet.

El ejecutable principal asociado con la campaña de spam instala un conjunto de DLLs y archivos JavaScript en lugares específicos dentro del sistema, incluyendo el Google Chrome Plugin.

Cuando  el plugin malício  está instalado, este monitoreará  todos los sitios web visitados por la victima. Y desencadenará su cargo malicioso si se accede a ciertas entidades financieras brasileñas. Una vez que el usuario inicia sesión en su cuenta el malware registrará sus credenciales bancarias y las enviará al atacante.

Algunos de los archivos que se detectan como ejecutables:

  

Para lograr su meta, el plugin sólo pide ciertos tipos específicos de permisos indicados en el archivo de manifiesto del plugin (manifiesto. json), pero como el usuario no es consciente de esto, el nunca sabrá que sus actividades están siendo rastreadas.

 

Notamos que el uso de esta técnica está en aumento, porque modiicando el navegador  de la victima o instalando plugins maliciosos le dá a los ciberdelincuentes una mejor tasa de éxito cuando su objetivo es robar información privada, incluyendo dirección de correo electrónico, cuenta bancaria o credenciales de red social. Para informacion adicional sobre las capacidades del plugin malicioso de un Google Chrome, les invito a revisar el post de Aleksandr Matrosov en Win32/Theola usando un plugin de Chrome para cometer fraude bancario.

Una vez que el plugin está installado, este necesitará extraer los datos robados y enviar la información al atacante. Para lograr este objetivo y permanecer anónimos los atacantes utilizaron una técnica raramente vista, usando un defecto en la configuración de un sitio del gobierno brasileño. 

Este error de configuración permitió a los atacantes a utilizar una cuenta de correo electrónico de gov.br para remitir los datos a dos cuentas de correo electrónico diferente, conducidos por uno de los servicios de correo electrónico más utilizados.

 

 

Dos tipos diferentes de correo electrónico fueron enviados, el primer e-mail se mandó con cada nueva infección y el segundo email  sería enviado cuando las víctimas se registraban  en sus cuentas bancarias. Para ello, las secuencias de comandos maliciosos están estructurados para agarrar la dirección URL que el usuario está visitando. Si este es uno de las instituciones financieras que quieren atacar , el copiará los datos de la forma y los guardará en un cookie, con el fin de ser mandado más tarde. 

Como puede verse en la imagen manifest.json las secuencias de comandos se activan cuando los usuarios visitan un URL: estructura común de plugins de Google Chrome es tal que cada pestaña ejecutará el archivo llamado Service.js. La combinación de permisos solicitados y el método incluido en cada uno de los archivos maliciosos de JavaScript son responsables de analizar y buscar los campos del formulario y los datos del usuario. 

Gracias a la colaboración de CERT.BR estamos siendo capaces de desactivar este ataque y bloquear las cuentas de correo electrónico relacionadas con esta amenaza, Hemos podido informar a las instituciones  y organizaciones afectadas sobre el ataque. El sitio afectado fue marcado para esta vulnerabilidad en el servidor invalidando cualquier otro atentado por ciber-delincuentes para usar este sitio de gobierno para actividades maliciosas utilizando esta vulnerabilidad.

Le aconsejamos que lea el white paper pdf para una explicación detallada de las técnicas utilizadas y el análisis de este segmento.

Fernando Catoira, Analista de seguridad

Pablo Ramos, investigador de seguridad

Sebastian Bortnik, Gerente de investigación y educación

 

  Original post: http://www.welivesecurity.com/2013/08/02/banking-trojan-chrome-government-mail-server/