jueves, 25 de agosto de 2016

Nuevo malware troyano usa PowerShell

Nuevo malware troyano usa PowerShell

PowerShell de Microsoft está siendo utilizado como parte de un nuevo troyano bancario que tiene como objetivo a los usuarios brasileños. Los investigadores hicieron el descubrimiento a principios de esta semana y mencionan que este tipo de malware es cada vez más sofisticado.


El troyano bancario se identifica como "Trojan-Proxy.PowerShell.Agent.a" y es uno de los más avanzados de origen brasileño, dijo Fabio Assolini, un investigador senior de seguridad de Kaspersky Lab’s Global Research and Analysis Team en un blog el jueves pasado.

El malware se distribuye a través de una campaña de phishing en la cual los correos electrónicos se hacen pasar por un operador de telefonía móvil. Un archivo .PIF (información de archivos de programa) es enviado y se utiliza para atacar el equipo del usuario. Los archivos PIF se ejecutan con MS-DOS para funcionar en entornos Windows y pueden contener programas BAT, EXE o COM ocultos que se ejecutan automáticamente después de ejecutar el archivo.

En el caso de "Trojan-Proxy.PowerShell.Agent.a", el archivo PIF cambia la configuración de proxy de Internet Explorer a un servidor proxy malicioso que redirecciona las conexiones a páginas de phishing para los bancos brasileños, dijo Assolini. Esos cambios en el sistema se realizan mediante scripts de PowerShell.

Esta forma de ataque es idéntica a como los criminales han aprovechado los archivos de configuración automática de proxy (PAC) en los ataques anteriores, dijo Assolini. Los archivos PAC están diseñados para permitir a los navegadores web seleccionar automáticamente el servidor proxy a utilizar para obtener una URL específica.

"Es la misma técnica utilizada por los PAC maliciosos que hemos descrito en 2013, pero esta vez no se utilizan los PAC; los cambios en el sistema se realizan mediante scripts de PowerShell", escribió Assolini. No sólo son usuarios de Internet Explorer los afectados, sino también a aplica para Firefox y Chrome.

El malware no tiene comunicación de mando y control (C&C). En su lugar, una vez que se puso en marcha el archivo .PIF se ejecuta "powershell.exe" y el comando "-executionpolicy Bypass -File% TEMP% \ 599D.tmp \ 599E.ps1". Este es un intento de eludir las directivas de ejecución de PowerShell, dijo Assolini. El malware cambia el archivo prefs.js, insertando el cambio del proxy malicioso.








No hay comentarios:

Publicar un comentario