Nuevo troyano bancario basado en una extensión de Chrome
En los últimos días se ha detectado en Hispasec un nuevo troyano bancario que utiliza una extensión de Chrome para robar las credenciales de acceso bancario.
El pasado 23 de julio llegó a los sistemas de detección y análisis de malware de Hispasec una nueva muestra de troyano bancario que utiliza un nuevo esquema para el robo de datos bancarios.
Este nuevo esquema de funcionamiento incluye dos componentes principales:
- Configuración de un proxy malicioso en la configuración del sistema operativo.
- Uso de una extensión maliciosa para el navegador Google Chrome que se encarga de redirigir las peticiones a las páginas web que alojan el phishing bancario.
Infección
La infección se lleva a cabo a través de un script para «wscript», que actúa de ‘dropper‘, y cuyo código se encuentra muy ofuscado. Este script es el encargado de instalar los dos componentes necesarios.
En primer lugar configura el sistema para utilizar un servidor proxy malicioso que se encargará de resolver y responder las peticiones realizadas a la web de phishing.
Configuración del proxy a través del registro del sistema
Como se puede observar en la imagen, el script modifica el valor del registro «AutoConfigURL» para la configuración de Internet, lo que permite no solo configurar un proxy malicioso en el equipo, sino también mantener actualizada la dirección IP del proxy a utilizar.
A continuación, el script descarga un fichero comprimido en formato ZIP que contiene la extensión maliciosa para Google Chrome y un instalador legítimo de Google Chrome Canary.
Una vez descargado el ZIP, lo descomprime e inicia el instalador de Google Chrome, sin importar si ya existe una versión de Google Chrome instalada en el equipo. Una vez instalado y configurado el navegador, se configura como navegador predeterminado.
Robo de Credenciales
En este momento, entra en juego la extensión maliciosa, que solicita al navegador permisos para interceptar las peticiones web a los dominios de las entidades bancarias afectadas y bloquearlas.
Con estos permisos, la extensión puede detectar el acceso por parte del usuario a la web del banco, y redirigir la petición a otra URL en la que se aloja la web de phishing para robar las credenciales de acceso.
Como podemos apreciar, las redirecciones para cada entidad se realizan a subdominios «ww«, en lugar del habitual «www«. Esto reduce la posibilidad de que el usuario detecte que no se trata del dominio habitual.
Estos subdominios no se encuentran en uso, por lo que será el servidor proxy malicioso el encargado de resolver los nombres de dominio y responder con el contenido de la web de phishing.
Entidades afectadas
Las entidades afectadas por este troyano bancario son entidades de Latinoamérica, entre las que se encuentran BBVA, Banco Santander, BCI o Scotia Bank.
Conclusiones
Tras el análisis realizado por el equipo de análisis de malware de Hispasec, podemos ver que se trata de un nuevo esquema de funcionamiento de troyano bancario. Si bien es cierto que existen troyanos conocidos como «ProxyChanger» que modifican la configuración del sistema para añadir un proxy malicioso que se encargue del robo de datos, en este caso se introduce un componente adicional como es la extensión de Google Chrome que apoya el ataque y lo hace efectivo.
Este tipo de ataques, permiten pasar más desapercibidos, puesto que los motores antivirus no están suficientemente preparados para la detección de extensiones maliciosas para el navegador, además de hacer el ataque más difícil de identificar por parte del usuario.
Aunque el código del dropper se encuentra muy ofuscado, no ocurre lo mismo con el código de la extensión. Además, la funcionalidad de la extensión es bastante simple y se limita a realizar una redirección hacia un subdominio que pasará desapercibido para el usuario. Esto nos invita a pensar que se trata de una primera versión del malware, y que en el futuro podríamos encontrar nuevas versiones más complejas e incluso versiones que afecten a nuevas entidades bancarias más allá de Latinoamérica.
Fuente: Unaaldia.hispasec.com