El malware ha sido identificado como “Trojan-Proxy.PowerShell.Agent.a” y es uno de los más avanzados técnicamente entre los desarrollados en Brasil, según contó el blog Securelist el jueves de esta misma semana.

El troyano es enviado a través de una campaña de phishing donde los emails son enmascarados como recibos de una operadora móvil. El troyano está alojado dentro de un fichero .PIF (Fichero de Información del Programa) malicioso adjuntado al email y que es utilizado para atacar el PC de la víctima. El fichero .PIF dice a las aplicaciones de MS-DOS cómo ejecutarlo en el entorno de Windows y puede además contener programas .BAT, .EXE o .COM ocultos que se ejecutan automáticamente después de ejecutar el .PIF descargado.

En el caso de “Trojan-Proxy.PowerShell.Agent.a”, el fichero .PIF se encarga de modificar la configuración de los proxies en Internet Explorer, Firefox o Google Chrome para que utilice unos maliciosos que redirigen la conexión hacia páginas de phishing que suplantan a los bancos brasileños. Estos cambios se realizan a través de un script realizado con el intérprete de comandos PowerShell.

La parte del ataque correspondiente al navegador web es idéntica a cómo los cibercriminales explotaron la configuración automática de proxy (PAC) en ataques anteriores. Los ficheros PAC son diseñados para permitir a los navegadores el seleccionar de forma automática qué servidor proxy utilizar para obtener una URL específica.

El malware no tiene comunicaciones de mando y control. En ves de eso, una vez que el fichero .PIF es ejecutado, el proceso powershell.exe es generado y este se complementa con la línea de comando “-ExecutionPolicy Bypass -File %TEMP%\599D.tmp\599E.ps1”. Lo que se intenta con esto es saltarse la política de ejecución de PowerShell. El malware cambia el fichero prefs.js, provocando el cambio malicioso de proxy.

Después de ser infectado por “Trojan-Proxy.PowerShell.Agent.a”, si el usuario intenta acceder a algunos sitios web listado en el script, será redireccionado hacia un dominio de phishing almacenado en un servidor proxy malicioso. Los dominios de proxy utilizados en el ataque utilizan servicios de DNS dinámicos y tienen como objetivo redireccionar todo el tráfico hacia un servidor ubicado en Países Bajos, donde hay algunas versiones de phishing de algunos sitios web de bancos brasileños.

Kaspersky Lab avisa que Brasil ha sido el país más afectado por troyanos bancarios durante el primer trimestre de 2016. Por otro lado, la mejor en calidad del malware brasileño puede estar sustentada en una colaboración con hackers europeos.

 

Fuente: ThreadPost | muyseguridad