Nuevo malware Dyreza

Un nuevo malware está atacando las entidades financieras. Se le ha bautizado con el nombre de Dyreza. El troyano ha sido descubierto por la compañía de seguridad CSIS, dirigida por Peter Kruse.

Según noticias este troyano tiene características similares al conocido ZeuS y es capaz de realizar ataques man in the browser, por ejemplo.

Aquí tenemos una conexión legítima del banco:

banco

El usuario con su ordenador se conecta a la banca electrónica. No hay nadie que esté interfiriendo en la conexión, el usuario no se encuentra infectado por lo tanto todo ocurre con normalidad.

¿Pero que pasa en una conexión infectada?

Pues hay intervenciones, que harán que se puedan interceptar datos, por ejemplo.

Este es un gráfico que explicaría que ocurre:

banco1

El usuario navegaría contra la web del banco. El troyano se activaría y realizaría un ataque Man in the browser contra el usuario. El usuario vería el contenido de una página que simula ser la web del banco y en ese momento cuando el usuario introduce los datos, el troyano los envía hacia sus servidores los datos robados.

Análisis dinámico de la muestra

La muestra tiene los siguientes detalles:

details_1

El análisis se ha llevado a cabo con Cuckoo

El malware al ejecutarse realiza ciertas conexiones:

2

Los dominios que no pertenecen a Microsoft, no estan registrados, por lo que ya lo shabrán dado de baja.

El equipo de CSIS, ha analizado estáticamente la muestra y afecta a las siguientes entidades:

“cashproonline.bankofamerica.com/AuthenticationFrameworkWeb/cpo/login/public/loginMain.faces
businessaccess.citibank.citigroup.com/cbusol/signon.do
www.bankline.natwest.com/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.natwest.com&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Fnatwest%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.natwest.com%3A443%2Fbankline%2Fnatwest%2Fdefault.jsp
www.bankline.rbs.com/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.rbs.com&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Frbs%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.rbs.com%3A443%2Fbankline%2Frbs%2Fdefault.jsp
www.bankline.ulsterbank.ie/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.ulsterbank.ie&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Fubr%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.ulsterbank.ie%3A443%2Fbankline%2Fubr%2Fdefault.jsp
AUTOBACKCONN
cashproonline.bankofamerica.com/materials
businessaccess.citibank.citigroup.com/materials
c1shproonline.bankofamerica.com
cashproonline.bankofamerica.com/AuthenticationFrameworkWeb/
cashproonline.bankofamerica.com/assets/
b1sinessaccess.citibank.citigroup.com
businessaccess.citibank.citigroup.com/assets/
businessaccess.citibank.citigroup.com/CitiBusinessOnlineFiles/
www.b1nkline.natwest.com
www.bankline.natwest.com/
www.b1nkline.rbs.com
www.bankline.rbs.com/
www.b1nkline.ulsterbank.ie
www.bankline.ulsterbank.ie/”

Entidades harcodeadas en el binario:

Al parecer  se ha distribuído el binario usando una actualización de Flash Player

 

Referencias: https://www.csis.dk/en/csis/news/4262/


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • CAMILO

    ESTA INFORMACION ES REALMENTE IMPORTANTE, PARA QUE ESTEMOS ALERTA

  • Pingback: Bitacoras.com()