Los investigadores de ciberseguridad han descubierto un troyano de este tipo completamente nuevo en el mercado bancario. El troyano utiliza binarios genuinos de VMware para engañar a las herramientas de seguridad para que acepten actividades errantes. Cisco Talos dijo que los investigadores analizaron recientemente la nueva campaña de malware en Brasil. La operación está dirigida al sector bancario sudamericano y busca explotar los datos personales de los usuarios para obtener ganancias financieras ilegales.
Troyano parece ser un proceso legítimo y se descubrió que el malware también usa una amplia gama de técnicas sofisticadas para mantenerse inactivo. Además de disfrazarse como un proceso legítimo, Trojan usa una amplia gama de técnicas para mantenerse oculto.
Conozca más: ¿Cómo infecta el troyano?
El nuevo troyano bancario inicia el proceso difundiendo ampliamente mensajes de spam escritos en portugués, prediciendo que los usuarios pueden verse tentados fácilmente a abrir un correo electrónico escrito en su idioma nativo. Los delincuentes utilizan estos correos electrónicos para atraer a las personas a que abran una factura de Boleto, un método de pago brasileño muy conocido. La factura contiene un archivo malicioso con una URL que, cuando se hace clic, se redirige a un acortador de URL goo.gl. A continuación, se redirige a los usuarios a la biblioteca RAR que contiene un archivo JAR.
Una vez que haga doble clic en ese archivo JAR, se cargará un archivo java que ejecuta el código malicioso e instala el troyano bancario. El código Java establece un vínculo entre el servidor remoto y el sistema para descargar archivos adicionales. El código cambia el nombre de los binarios descargados y ejecuta un binario real de vm.png de VMware (firmado) con una firma digital de VMware.
Una de las dependencias del binario ejecutado es vmwarebase.dll, que es un archivo malicioso que se utiliza para inyectar y ejecutar código prs.png en explorer.exe o notepad.exe. Esto carga el módulo principal del troyano bancario que contiene muchas funciones. El módulo crea una clave de registro de inicio automático y le permite averiguar si los usuarios están interactuando con alguna institución financiera en Brasil utilizando la lista en el formulario que contiene una institución financiera específica en Brasil.
Otra actividad realizada por el módulo principal es ejecutar el último gps.png binario (previamente renombrado con la extensión .drv) con rundll32.exe. Esta pista incluye una herramienta de protección que dificulta la destrucción de la amenaza.