Una campaña de Malware que afecta a usuarios de múltiples entidades bancarias se ha mantenido activa durante meses, en Chile tenemos registro y alertas desde el 22 de Julio con la siguiente muestra.
Luego fueron modificando la IP del proxy en cada campaña.
Para engañar a los usuarios configura un proxy en el equipo infectado (dos métodos), que redirige de forma imperceptible a los sitios web falsos de cada banco, de ahí el nombre de este ataque "Proxy Changer" que estuvo siendo explotado desde el año 2013 por grupos Brasileños.
Un análisis detallado de la amenaza se encuentra en el siguiente reporte del CSIRT de Gobierno el día 04 de Septiembre: https://www.csirt.gob.cl/media/2019/09/10CND-00017-001.pdf.
Estos días hemos recopilado nuevos antecedentes y nos hemos percatamos de que los autores han pagado publicidad en sitios conocidos para la descarga de archivos como openload.co y 1fichier.com para desplegar la amenaza mediante popups y redirecciones.
Dentro de este archivo .zip se encuentra el archivo de nombre "FlashUpgrade.js" que finalmente es el que inicia la descarga e instalación de la amenaza en el equipo.
Los dominios utilizados por los atacantes para llevar sus estadísticas se han mantenido activos por meses, dentro guardan múltiples carpetas con la información de los equipos comprometidos en cada campaña.
Luego de infectar un equipo determinado, el malware se mantiene a la espera de que el usuario ingrese al sitio de su banco, cuando esto ocurre todo el tráfico es redirigido a los sitios maliciosos desarrollados por los atacantes.
Durante nuestra investigaciones quisimos generar algunas pruebas de seguridad sobre los portales fraudulentos para descubrir más detalles y mediante la generación de un error intencional obtuvimos lo siguiente.
Así pudimos descubrir la dirección virtual y generar un script para automatizar la búsqueda de los portales fraudulentos sin estar infectados.
Este ataque también esta dirigido a usuarios de la banca Mexicana
Cuando escribíamos esta alerta, los atacantes cambiaron algunas direcciones IP's y archivos relacionados, a continuación dejamos la recopilación de los
Indicadores de Compromiso actualizados.
top5lfmanage[.]live
www.beavideopro[.]vip
planofitemdia[.]info
thenewworking[.]info
ifoundnothing[.]info
hardlopenvoorbeginners[.]com
novocontador[.]club
104[.]237[.]9[.]219
144[.]208[.]127[.]108
144[.]208[.]127[.]136
192[.]210[.]179[.]48
104[.]36[.]229[.]160
185[.]203[.]117[.]22
192[.]3[.]193[.]149
144[.]208[.]127[.]108
107[.]174[.]24[.]112
www[.]vimeolar[.]xyz
dc6d33531331e82b8abd0dcf174c6cc6
INTELIGENCIA DE AMENAZAS