I ricercatori della Cybersecurity hanno scoperto sul mercato bancario un Trojan del tutto nuovo nel suo genere. Il trojan utilizza un autentico binario VMware per ingannare gli strumenti di sicurezza per accettare l’attività errante. Cisco Talos ha detto che i ricercatori hanno recentemente osservato la nuova campagna di malware in Brasile. L’operazione mira al settore bancario sud-americano e cerca di sfruttare i dati personali degli utenti per un profitto finanziario illegale.
Il Trojan sembra essere un processo legittimo e si è scoperto che il malware utilizza anche una vasta gamma di tecniche sofisticate per rimanere inattivi. Oltre a mascherarsi come un processo legittimo, il Trojan utilizza una vasta gamma di tecniche per rimanere nascosti.
Approfondimento: Come ti infetta il Trojan?
Il nuovo Trojan bancario inizia il processo diffondendo ampiamente messaggi spam scritti in portoghese, prevedendo che gli utenti possano facilmente essere tentati nell aprire un’email scritta nella loro lingua madre. I criminali utilizzano queste email per invogliare gli individui ad aprire una fattura Boleto, un noto metodo di pagamento brasiliano. La fattura contiene un file dannoso con un URL che, quando cliccato, viene reindirizzato ad un abbreviatore URL goo.gl. Gli utenti vengono quindi reindirizzati alla libreria RAR che contiene un file JAR.
Una volta fatto il doppio clic su tale file JAR, verrà caricato un file java che esegue il codice dannoso e installa il trojan bancario. Il codice Java stabilisce un collegamento tra il server remoto e il sistema per scaricare file aggiuntivi. Il codice rinomina i binari scaricati ed esegue un vero binario da vm.png da VMware (firmato) con una firma digitale VMware.
Una delle dipendenze del binario eseguito è vmwarebase.dll che è un file dannoso utilizzato per iniettare ed eseguire il codice prs.png in explorer.exe o in notepad.exe. Questo carica il modulo principale del trojan bancario che contiene molte funzioni. Il modulo crea una chiave del Registro di sistema autostart e consente di scoprire se gli utenti stanno interagendo con qualsiasi istituzione finanziaria in Brasile utilizzando l’elenco nel modulo che contiene un’istituzione finanziaria mirata in Brasile.
Un’altra attività eseguita dal modulo principale è quella di eseguire l’ultimo gps.png binario (rinominato in precedenza con l’estensione .drv) con rundll32.exe. Questo binario è imballato con uno strumento di protezione che rende difficile l’annientamento della minaccia.