Campaña activa de Malware Bancario (Proxy Change o PAC) dirigido a Chile.

Actualizado: ene 19

Una campaña de Malware que afecta a usuarios de múltiples entidades bancarias se ha mantenido activa durante meses, en Chile tenemos registro y alertas desde el 22 de Julio con la siguiente muestra.


Luego fueron modificando la IP del proxy en cada campaña.




Para engañar a los usuarios configura un proxy en el equipo infectado (dos métodos), que redirige de forma imperceptible a los sitios web falsos de cada banco, de ahí el nombre de este ataque "Proxy Changer" que estuvo siendo explotado desde el año 2013 por grupos Brasileños.


Un análisis detallado de la amenaza se encuentra en el siguiente reporte del CSIRT de Gobierno el día 04 de Septiembre: https://www.csirt.gob.cl/media/2019/09/10CND-00017-001.pdf.


Estos días hemos recopilado nuevos antecedentes y nos hemos percatamos de que los autores han pagado publicidad en sitios conocidos para la descarga de archivos como openload.co y 1fichier.com para desplegar la amenaza mediante popups y redirecciones.






Dentro de este archivo .zip se encuentra el archivo de nombre "FlashUpgrade.js" que finalmente es el que inicia la descarga e instalación de la amenaza en el equipo.




Los dominios utilizados por los atacantes para llevar sus estadísticas se han mantenido activos por meses, dentro guardan múltiples carpetas con la información de los equipos comprometidos en cada campaña.


Luego de infectar un equipo determinado, el malware se mantiene a la espera de que el usuario ingrese al sitio de su banco, cuando esto ocurre todo el tráfico es redirigido a los sitios maliciosos desarrollados por los atacantes.


Durante nuestra investigaciones quisimos generar algunas pruebas de seguridad sobre los portales fraudulentos para descubrir más detalles y mediante la generación de un error intencional obtuvimos lo siguiente.



Así pudimos descubrir la dirección virtual y generar un script para automatizar la búsqueda de los portales fraudulentos sin estar infectados.






Este ataque también esta dirigido a usuarios de la banca Mexicana






Cuando escribíamos esta alerta, los atacantes cambiaron algunas direcciones IP's y archivos relacionados, a continuación dejamos la recopilación de los

Indicadores de Compromiso actualizados.


top5lfmanage[.]live

www.beavideopro[.]vip

planofitemdia[.]info

thenewworking[.]info

ifoundnothing[.]info

hardlopenvoorbeginners[.]com

novocontador[.]club

104[.]237[.]9[.]219

144[.]208[.]127[.]108

144[.]208[.]127[.]136

192[.]210[.]179[.]48

104[.]36[.]229[.]160

185[.]203[.]117[.]22

192[.]3[.]193[.]149

144[.]208[.]127[.]108

107[.]174[.]24[.]112

www[.]vimeolar[.]xyz

dc6d33531331e82b8abd0dcf174c6cc6


INTELIGENCIA DE AMENAZAS

CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Contacto

Síguenos en

  • Icono social LinkedIn
  • Facebook icono social