MÁLAGA, 28 Jul. (EUROPA PRESS) -
La empresa malagueña Hispasec Sistemas ha descubierto un nuevo tipo de 'malware' bancario en Chile que ya se ha propagado por numerosas entidades bancarias chilenas y cuyo objetivo es el robo de credenciales de los clientes.
El pasado 23 de julio apareció en los sistemas de análisis de Hispasec Sistemas una muestra de este troyano que usa un esquema novedoso en el escenario chileno a través de extensiones maliciosas de Google Chrome, según ha explicado la empresa en una nota de prensa.
Aunque existen precedentes de troyanos conocidos como 'ProxyChanger', el 'malware' registrado por Hispasec Sistemas es el primer troyano que hace uso de una extensión maliciosa para Google Chrome que apoya el ataque y lo haga efectivo. Ciertos rasgos del código y de su comportamiento permiten suponer que se trata de una primera versión de este 'malware' y que en el futuro se verán nuevas versiones más ofuscadas y complejas.
El malware detectado por Hispasec Sistemas afecta a una gran parte de la banca chilena en este momento, donde es el primera vez que se registra un esquema de este tipo.
Este nuevo esquema de funcionamiento en el entorno bancario chileno descubierto por Hispasec Sistemas se basa en el uso de extensiones de Google Chrome y la configuración del proxy del sistema, forzando la conexión de red del cliente para que utilice el servidor 'proxy' malicioso.
Este nuevo 'malware' necesita de dos componentes para lograr interceptar la comunicación porque la mayor parte de entidades bancarias a las que se dirige utilizan HTTPs en sus sistemas. Este tipo de ataque podría saltar esa precaución con facilidad.
FUNCIONAMIENTO DEL NUEVO MALWARE
La infección se realiza por un 'script' que hace las labores de 'dropper' y se ejecuta con "wscript". El fichero se encuentra ofuscado y consigue descargar un fichero "mad.dat" o "mag.dat", utilizado como fichero de configuración automática del proxy del sistema, que configurará el sistema para utilizar el proxy malicioso.
También descarga el fichero "Chrome.zip, que se trata del fichero comprimido con la extensión de Google Chrome, además del instalador de una versión legítima de Google Chrome (versión Canary). Después, inicia el instalador de Google Chrome contenido en el fichero ZIP y configura el sistema para que este sea el navegador predeterminado.
Una vez instalada la versión Canary de Google Chrome que incluye la extensión, finaliza el trabajo del 'dropper' y entra en juego la extensión del navegador. La extensión incluye en su fichero "manifest.json" los permisos solicitados al navegador para acceder a las diferentes páginas web que accede el usuario. En este caso, solicita permiso de bloqueo para las webs de las entidades bancarias afectadas.
Gracias a este permiso, la extensión será capaz de interceptar la petición de carga de la web principal de la entidad bancaria afectada y redirigir el tráfico a una nueva URL en la que se encuentre el sitio web de 'phishing'.
Al interceptar la petición, se realiza una redirección a la URL de phishing configurada para cada una de las entidades afectadas. La única modificación que se realiza sobre la URL de la entidad es utilizar un subdominio "ww", en lugar del habitual "www".
Este subdominio no está en uso, pero gracias a la configuración del proxy del sistema utilizando un proxy malicioso, la petición pasará por el proxy, que se encargará de responder con la web de phishing de la entidad correspondiente.
HISPASEC
Hispasec Sistemas es una empresa española pionera en ciberserguridad fundada en Málaga y surgida de Una Al Día, el boletín de noticias de ciberseguridad más longevo de habla hispana, considerado un referente en matería de seguridad informática por su fiabilidad y constancia. Desde octubre de 1998, Una Al Día ha remitido más de 7.300 comunicados de seguridad, con una audiencia fiel en Latinoamérica y España.