Nuevo malware Dyreza

Un nuevo malware está atacando las entidades financieras, se trata del Nuevo malware Dyreza un troyano que ha sido descubierto por la compañía de seguridad CSIS, dirigida por Peter Kruse. Según noticias este troyano tiene características similares al conocido ZeuS y es capaz de realizar ataques man in the browser, por ejemplo.

Índice

Nuevo malware Dyreza conexión legítima del banco

Aquí tenemos una conexión legítima del banco:

Nuevo malware Dyreza

El usuario con su ordenador se conecta a la banca electrónica. No hay nadie que esté interfiriendo en la conexión, el usuario no se encuentra infectado por lo tanto todo ocurre con normalidad.

¿Pero qué pasa en una conexión infectada?

En una conexión infectada hay intervenciones, que harán que se puedan interceptar datos, como por ejemplo.

Este es un gráfico que explicaría que ocurre:

Nuevo malware Dyreza

El usuario navegaría contra la web del banco. El troyano se activaría y realizaría un ataque Man in the browser contra el usuario.

El usuario vería el contenido de una página que simula ser la web del banco y en ese momento cuando el usuario introduce los datos, el troyano los envía hacia sus servidores los datos robados.

Análisis dinámico de la muestra

La muestra tiene los siguientes detalles:

Nuevo malware Dyreza

El análisis se ha llevado a cabo con Cuckoo

El malware al ejecutarse realiza ciertas conexiones:

2

Los dominios que no pertenecen a Microsoft, no están registrados, por lo que ya lo habrán dado de baja.

El equipo de CSIS, ha analizado estáticamente la muestra y afecta a las siguientes entidades:

"cashproonline.bankofamerica.com/AuthenticationFrameworkWeb/cpo/login/public/loginMain.faces
businessaccess.citibank.citigroup.com/cbusol/signon.do
www.bankline.natwest.com/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.natwest.com&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Fnatwest%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.natwest.com%3A443%2Fbankline%2Fnatwest%2Fdefault.jsp
www.bankline.rbs.com/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.rbs.com&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Frbs%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.rbs.com%3A443%2Fbankline%2Frbs%2Fdefault.jsp
www.bankline.ulsterbank.ie/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.ulsterbank.ie&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Fubr%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.ulsterbank.ie%3A443%2Fbankline%2Fubr%2Fdefault.jsp
AUTOBACKCONN
cashproonline.bankofamerica.com/materials
businessaccess.citibank.citigroup.com/materials
c1shproonline.bankofamerica.com
cashproonline.bankofamerica.com/AuthenticationFrameworkWeb/
cashproonline.bankofamerica.com/assets/
b1sinessaccess.citibank.citigroup.com
businessaccess.citibank.citigroup.com/assets/
businessaccess.citibank.citigroup.com/CitiBusinessOnlineFiles/
www.b1nkline.natwest.com
www.bankline.natwest.com/
www.b1nkline.rbs.com
www.bankline.rbs.com/
www.b1nkline.ulsterbank.ie
www.bankline.ulsterbank.ie/

Por ultimo, debes saber  que el nuevo malware Dyreza esta diseñado con un código para que actue  de forma similar a Zeus, la botnet diseñada para robar información de bancos, y otras amenazas similares

Referencias: https://www.csis.dk/en/csis/news/4262/

Análisis de binarios con PEDump
Subir

¡No te pierdas el CONGRESO DE HACKERS - DragonJAR Security Conference! ¡Regístrate ahora!