Malware bancario fileless roba credenciales de usuario, contactos de Outlook e instala herramienta de hackeo

Una nueva campaña de malware se centra en el robo de credenciales de banca en línea, para recopilar direcciones de correo electrónico de negocios y para obtener acceso remoto a la máquina víctima.

Según el análisis de TrendMicro, el malware adjunta varios archivos para realizar el ataque, adicionalmente adjunta varios archivos, ejecuta script (.bat) en powershell y descarga la carga util desde una ip remota, mas un malware que roba información. La campaña de malware está dirigida a usuarios de banca en línea de Brasil y Taiwán.

El malware roba los detalles de las cuentas bancarias del usuario y registra los datos ingresados en los sitios web visitados por los usuarios y las credenciales de las máquinas registradas. Al tener los detalles exfiltrados, los atacantes pueden lanzar spishing phishing, apuntando a individuos específicos.

Cadena de infección - Malware bancario fileless

Tras la infección, el troyano (detectado por Trend Micro como Trojan.BAT.BANLOAD.THBAIAI) se conecta a hxxp: // 35 [.] 227 [.] 52 [.] 26 / mods / al / md [.] Zip para descargar los códigos de PowerShell y hxxp: // 35 [.] 227 [.] 52 [.] 26 / loads / 20938092830482 para ejecutar los códigos, conectarse a otras URL y extraer y renombrar los archivos. Como informaron anteriormente otros investigadores, los archivos renombrados aparecen aparentemente como funciones válidas de Windows, como archivos ejecutables y de imagen.




Deja caer los archivos .LNK en la carpeta de Inicio, lo que obliga al sistema a reiniciarse después de tres minutos. También crea una pantalla de bloqueo que obliga al usuario a ingresar su nombre de usuario y contraseña.
Al utilizar la función de inicio de sesión de seguridad del sistema, detecta las credenciales incorrectas que se ingresan y notifica al usuario que repita el proceso. El malware también registra las credenciales correctas del usuario, que envía al servidor de comando y control (C&C), e inmediatamente oculta su rutina maliciosa al eliminar todos los archivos y carpetas eliminados y creados en la carpeta de Inicio, todo mientras se ejecuta otro troyano (detectado por Trend Micro como TrojanSpy.Win32.BANRAP.AS).

Este troyano abre Outlook para reunir las direcciones de correo electrónico almacenadas que luego envía al servidor de C&C. Si la máquina no tiene Outlook, ejecuta el resto de la rutina pero omite el envío de las direcciones de correo electrónico recopiladas.


El malware también elimina e instala la herramienta de hacking RADMIN (detectada por Trend Micro como HKTL_RADMIN) con el archivo de configuración descargado de una carpeta de GitHub, e instala una carpeta en el escritorio llamada RDP Wrapper.

Oculta todas sus actividades de acceso remoto a través de un registro de configuración que, combinado con las credenciales, le da acceso completo al sistema. El atacante puede mirar el sistema una vez que el usuario cierra la sesión, obtiene privilegios de administrador y oculta las actividades de la pantalla del usuario sin su conocimiento, entre otros.

Después de reiniciar y el usuario inicia sesión, borra todos los archivos .LNK de Google y los reemplaza con un .LNK malintencionado cambiando el puntero de cmd.exe / C de .LNK "C: \ Users \ Public \ Chrome.LNK", " % De datos de aplicación% \ Microsoft \ Internet Explorer \ Inicio rápido \ Usuario anclado \ ImplicitAppShortcuts \ Google Chrome.LNK ”para ejecutar el archivo malicioso.

Se procede a soltar un archivo por lotes con comandos para cargar un troyano (detectado por Trend Micro como Trojan.JS.BANKER.THBAIAI), ocultándolo como extensiones de Google Chrome. Escanea los sistemas en busca de cadenas particulares antes de ejecutar su rutina, y se detiene si detecta herramientas de desarrollo o depuradores abiertos, y si encuentra ciertas cadenas como cvv . Supervisa los sitios web que visita el usuario, pero activa en particular el monitoreo cuando se hace clic en botones como #signin o # login-signin, que se envía al C&C.

El troyano se termina solo cuando el entorno se ejecuta en versiones de Windows diferentes o inferiores a 7, 8, 8.1 y 10 porque las bibliotecas utilizadas para recopilar la dirección de correo electrónico, los datos de inicio de sesión de GoogleChrome y OPENSSL para su transferencia de red de datos cifrados a C&C no son compatibles Windows XP o más viejo. Además, la versión RADMIN incluida en esta rutina no admite sistemas inferiores a Windows 7.


Fuente: TrendMicro