Global Preloader
Vulnerabilidad
(29/Sep/2017) Binario legítimo de VMware utilizado para la distribución de troyanos bancarios

Binario legítimo de VMware utilizado para la distribución de troyanos bancarios

Investigadores de Cisco detectaron una campaña de troyanos bancarios que han estado utilizando un binario de VMware legítimo para engañar a los productos de seguridad y evitar que se eliminen los binarios maliciosos. Los investigadores de seguridad encontraron que también se intenta pasar inadvertido el malware usando múltiples métodos de redireccionamiento al infectar las máquinas de las víctimas. Además, los atacantes usan una variedad de técnicas anti-análisis, mientras que también emplean una carga final escrita en Delphi, una técnica bastante única para el troyano bancario.

Enfocándose principalmente en los usuarios de Brasil, el ataque comienza con correos electrónicos no deseados con mensajes escritos en portugués. Los atacantes también tratan de convencer a la víctima para abrir un archivo adjunto HTML malicioso que se presenta como una factura.

El archivo HTML contiene una URL que redirige primero a un acortador de URL goo.gl, que a su vez redirecciona a un archivo RAR que contiene un archivo JAR con código malicioso que instala un troyano bancario. El código Java configura el entorno de trabajo del malware y luego descarga archivos adicionales desde un servidor remoto.

El código Java cambia el nombre de los binarios descargados y también ejecuta un binario legítimo de VMware, que incluso contiene una firma digital de VMware. Al cargar un binario legítimo, los atacantes intentan engañar a los programas de seguridad para que confíen en las bibliotecas que cargarían.

Una de estas bibliotecas, sin embargo, es un archivo malicioso llamado vmwarebase.dll, destinado a inyectar y ejecutar código en explorer.exe o notepad.exe. El módulo principal del troyano bancario fue diseñado para terminar los procesos de herramientas de análisis y crear una clave de registro autostart. El módulo también obtiene el título de la ventana en primer plano del usuario, pudiendo así identificar si alguna de las ventanas pertenece a una institución financiera específica ubicada en Brasil. El troyano luego utiliza inyecciones web para engañar a los usuarios para que revelen sus credenciales de inicio de sesión.

Otro binario de las cargas del módulo principal está empaquetado con Themida, lo que hace que su análisis sea muy difícil. También se observó el malware enviando cadenas específicas al servidor de comando y control cada vez que se realizaba una acción en el sistema infectado.

El uso de plataformas comerciales de empaquetado como Themida continuará haciendo que el análisis sea difícil y muestra que algunos atacantes están dispuestos a obtener este tipo de herramientas comerciales en un intento de frustrar el análisis.