Un nuevo malware está atacando las entidades financieras. Se le ha bautizado con el nombre de Dyreza. El troyano ha sido descubierto por la compañía de seguridad CSIS, dirigida por Peter Kruse.

Según noticias este troyano tiene características similares al conocido ZeuS y es capaz de realizar ataques man in the browser, por ejemplo.

Aquí tenemos una conexión legítima del banco:

banco

El usuario con su ordenador se conecta a la banca electrónica. No hay nadie que esté interfiriendo en la conexión, el usuario no se encuentra infectado por lo tanto todo ocurre con normalidad.

¿Pero que pasa en una conexión infectada?

Pues hay intervenciones, que harán que se puedan interceptar datos, por ejemplo.

Este es un gráfico que explicaría que ocurre:

banco1

El usuario navegaría contra la web del banco. El troyano se activaría y realizaría un ataque Man in the browser contra el usuario. El usuario vería el contenido de una página que simula ser la web del banco y en ese momento cuando el usuario introduce los datos, el troyano los envía hacia sus servidores los datos robados.

Análisis dinámico de la muestra

La muestra tiene los siguientes detalles:

details_1

El análisis se ha llevado a cabo con Cuckoo

El malware al ejecutarse realiza ciertas conexiones:

2

Los dominios que no pertenecen a Microsoft, no estan registrados, por lo que ya lo shabrán dado de baja.

El equipo de CSIS, ha analizado estáticamente la muestra y afecta a las siguientes entidades:

“cashproonline.bankofamerica.com/AuthenticationFrameworkWeb/cpo/login/public/loginMain.faces
businessaccess.citibank.citigroup.com/cbusol/signon.do
www.bankline.natwest.com/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.natwest.com&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Fnatwest%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.natwest.com%3A443%2Fbankline%2Fnatwest%2Fdefault.jsp
www.bankline.rbs.com/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.rbs.com&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Frbs%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.rbs.com%3A443%2Fbankline%2Frbs%2Fdefault.jsp
www.bankline.ulsterbank.ie/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.ulsterbank.ie&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Fubr%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.ulsterbank.ie%3A443%2Fbankline%2Fubr%2Fdefault.jsp
AUTOBACKCONN
cashproonline.bankofamerica.com/materials
businessaccess.citibank.citigroup.com/materials
c1shproonline.bankofamerica.com
cashproonline.bankofamerica.com/AuthenticationFrameworkWeb/
cashproonline.bankofamerica.com/assets/
b1sinessaccess.citibank.citigroup.com
businessaccess.citibank.citigroup.com/assets/
businessaccess.citibank.citigroup.com/CitiBusinessOnlineFiles/
www.b1nkline.natwest.com
www.bankline.natwest.com/
www.b1nkline.rbs.com
www.bankline.rbs.com/
www.b1nkline.ulsterbank.ie
www.bankline.ulsterbank.ie/”

Entidades harcodeadas en el binario:

Al parecer  se ha distribuído el binario usando una actualización de Flash Player

 

Referencias: https://www.csis.dk/en/csis/news/4262/

Congreso Hacker Colombia