Nueva Spy Banquero Troya Telax dirigida a habla Portuguesa
El Zscaler ThreatLabZ ha Seguido de cerca Una Nueva Campaña espía troyano bancario Que ha Sido Dirigida a los Usuarios de habla portuguesa en Brasil. Los Autores de malware se estan Aprovechando los Servidores de Google Cloud párrafo Acoger el Programa espía Banquero Downloader Troya, Que es responsable de la Descarga e instalación del espía troyano bancario Telax. Los atacantes estan utilizando Tácticas de ingeniería social, el de Como ofrecer cupones de descuento antivirus de software libre Como WhatsApp y Avast, párr Atraer al usuario final de un descargar e Instalar la carga maliciosa. Sitios de redes sociales de Facebook y Twitter Principalmente se utilizan párr Difundir Una URL acortada (utilizando el servicio bit.ly) Que Apunta una ONU Servidor de Google Cloud Anfitrión de la carga maliciosa con .COM o extensiones de archivo .EXE.
El ataque Comienza con Una URL acortada publicado En un sitio de redes sociales oa Través de la Unidad de Descarga de este sitios maliciosos posando párrafo prima de software ofrecer o cupones. A Continuación se Muestra Una Reciente cadena de ataque Donde el usuario Hace click En un enlace para Compartir un Través de Facebook Que Llevan a la Descarga de Telax carga útil:
El enlace Apunta bit.ly una ONU Alojada PHP archivo en el Servidor de Google Cloud Que hace Una redirección 302 párr descargar la carga inicial Spy Banquero Downloader Troya. El archivo ejecutable receitanet.com this planteando Que El servicio Federal de Ingresos fiscales en línea ahora vuelve de Brasil.Hemos visto también Otros temas Que ofrecen las Aplicaciones de software de alta Calidad falsos y vales de descuento de Como se ve desde los Nombres de los Archivos de abajo. Nombres de archivo carga maliciosa:
-
americanas.com
-
americanas.exe
-
app.ricardoeletro.com
-
atube.com
-
avast.com
-
AvastPro.exe
-
baixaki.com
-
receitanet.com
-
ricardoeletro.com
-
setup.exe
-
submarino.com
-
voucher.americanas.com
-
voucher.mercadolivre.com
-
voucher.ricardoeletro.com
-
walmart.com
-
web.whatsapp.com
-
whatsapp_setup.exe
-
WhatsApp_Setup.exe
A Continuación se Presentan las Estadísticas (de Crédito: Bit.ly) Sobre el Número de Usuarios en los clics Que were Registrados Sobre la Campaña de ataque Compartida en la Figura 1:
La Mayoría de los Usuarios Objetivo plomo Eran al enlace bit.ly malicioso de Facebook Como se ve un Continuación:
: Además de los Sitios de redes sociales, también VIMOS a Los Usuarios Que Llegan a las cargas Útiles Spy Banquero Telax alojados en Los Servidores de Google Nube de los Siguientes este sitios:
-
aquinofinal [.] com
-
aquiredire [.] com
-
brasildareceita [.] com
-
mundodareceita [.] com
-
ofertasplusdescontos [.] com
Todos Menos uno de los dominios mencionados anteriormente estan embargado por Go Daddy Y Que Ya No Activos ESTAN. Una Rápida WHOIS mirada por el Dominio activo Muestra Que se registro recientemente en 'kleyb maxbell' con siguiente información:
[.] Encontramos Otro Dominio 'ofertasmaxdescontos com », Registrada por El Mismo usuario Que también Parece Estar redirigiendo ACTIVAMENTE una los Usuarios a la carga maliciosa alojado En un Servidor de Google Cloud predeterminada Como se ve un Continuación:
Es Importante Tener en Cuenta Que Google ya ja limpiado los Servidores de La Nube Siendo redirigidos ACTUALMENTE POR ESTOS DOS este sitios Activos y por lo del tanto el ciclo de Infección se producira con error de un un Mensaje 404 Not Found. Distribución Geográfica de los Usuarios de · · intentar descargar los episodios finales carga maliciosa de la figura 1 se Muestra Continuación:
Como era de Esperar, la Mayoría de los Usuarios Destinatarios of this Campana de software malicioso hijo de Brasil. Es Importante Tener en Cuenta Que El Éxito of this ataque Depende Principalmente de las Tácticas de ingeniería social, párr Convencer al usuario en definitiva la Apertura de la carga útil descargado.
El archivo inicial Que se Descarga es la espía Banquero Downloader Troya. El Descargador de Troya es Contacto Responsable de La Descarga y La Ejecucion De La carga útil finales à partir de Una Lista de direcciones URL predeterminadas Como Se ve un Continuación:
La carga útil final, Spy Banquero Troya Telax, Es Un ejecutable Delphi Que es Capaz de robar credenciales bancarias dirigidas a los Usuarios portugueses. Tras la Ejecucion, Telax inyecta código malicioso en proceso legítimo de compilador de Visual Basic (vbc.exe). . El código inyectado Primero comprueba la Presencia de entorno de Como virtuales VMware, Virtual Box, Vino y Virtual PC en El Sistema de destino Telax ejecutable Contiene los Siguientes Archivos ADICIONALES incorporados en su section de recursos:
-
SQLLite.dll - legítima SQL Lite binaria
-
Componente rootkit de 32 bits
-
Componente rootkit de 64 bits
-
Copia de 64 bits de sí Mismo
Dependiendo del bit-ness del Sistema Operativo de destino, Telax registrará rootkit conductor el apropiado:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ hookmgr \ ImagePath: "<usuario> \ <CurrentLocation> \ hookmgr.sys"
La forma principal de Que HEMOS extraído de la binaria Delphi malicioso se llama 'Telax' por el autor y Se Puede ver un Continuación:
Aqui esta la translation de las Características preconfigurados se encuentran En Este bot:
-
Auto sí reconectar perder Conexao -> reconexión automática pierde La Conexión
-
bloquear VM -> Bloque de VM
-
Proteger Processo -> Proteger Proceso
-
Mensagem de INSTALACAO -> Instalación Mensaje
-
Infectar Gerar -> Generar infectar
-
Ativar Anfitrión -> Habilitar Anfitrión
-
Actualización ativar -> Actualización Activar
-
asesino ativar -> Activar asesino
-
Gusano ativar -> Activar Worm
-
Versão -> Versión
-
Porta -> Puerto
Los Siguientes hijo los módulos Telax ADICIONALES Que VIMOS del nuestro Durante Análisis: A.Modulename: TnHulk.MITO Detecta Instalado Aplicaciones antivirus en El Sistema. Se busca especificamente Siguientes ejecutables antivirus en el Sistema de destino: BavUpdater.exe - Baidu Antivirus instup.exe - Avast avgmfapx.exe - AVG Update.exe - Symantec B. Modulename: TTitulo.IPTX. Responsable de descifrar cadenas incrustadas en el archivo C Modulename: TXRPD. Responsable de la instalacion de software malicioso en el Sistema de D. Modulename: TLISTING Contiene las Funciones de rootkit Comunicación Red Despues de la Instalación Exitosa, Telax Envía siguiente Información un remoto Servidor ONU Mando y Control (C & C):
Los Siguientes hijo los Comandos de C & C Que Son utilizados por Telax párr su Comunicación:
Mando |
Descripción |
---|---|
<| PING |> |
Comprobación del estado de la Conexión |
<| Información |> |
Envía Detalles OS infectadas y versión bot |
<| Cerrar |> |
Cierre TODAS LAS Conexiones |
<| DESI |> |
Sí Desinstalar |
<| Reini |> |
Sistema del recomenzar |
<| RequestInfo |> |
Solicitud de información Sobre Instalar antivirus, antispyware y firewall |
<| REQUESTKEYBOARD |> |
Envía pulsaciones de Teclas a la ventana de Aplicación activa |
<| HjiopPos |> |
Posicion Set del ratón |
<| HjiopLD |> |
Conjunto del ratón Botón izquierdo |
<| HjiopLU |> |
Conjunto Botón izquierdo del ratón Hasta |
<| POWT |> |
Escriba cadena dada en la ventana real |
{DESMON} |
Establece el estado de la Pantalla Mediante Mensaje de ventana WM_SYSCOMMAND |
También encontramos Paneles falsos Para La Autenticación de Dos Factores Que presumiblemente se utilizació párrafo Capturar y Pasar por alto el Mecanismo de Autenticación de dos factors.
Telax Downloader Hashes
1101C68DF9B31D1C086902D12ECC8521
14066DDD16BF58CD8815F19B183A2801
18FDAA5C3BC8519798912DD8CFDBA0FD
391022155B4BF56309E335308CA86E9D
3DF54DA82678F377FE3FA0AC2122550B
3EAD81990D055C6B7F9F026912D06C28
47ADF66B8AADFA147FF4E528B9F1ADC1
4AA96DC421E509C51F69BF3253702FC4
53D7A67EBF62150288FABF3AA38F0D06
5B3C393563FEEFE50D5B79B555896EA2
695C89E87D18FE9C7BBEBD65E2DA8308
6D27E0A7F9753DCD27B0418023077342
6DC1168629BBFD1AF343B13E08C0FC72
710E945AC8247B3F8B19022A9401E351
9648CED20C9BBD304F3234644842F663
A87112588AD6F5DD4C4D8F88442F6B66
B037980732D665EE46662A2D3D5D067D
BA6F9083D4F559BBBC000806C6357C9F
C4EBF36C756504F30D80BEDAECC27AF9
CF2D555048B87BED05D0486F00209797
D1D29793D9FA4DDD3FA8AD66903CB75F
D63D2A72EAA672F2BC46901CC460308B
DF08C8549F14AAE4CAC8FF46640212CA
F0416E5EF08E2DE12B409F51E42C7A31
Spy Banquero Telax Es Un troyano bancario Que ha Dirigido especificamente a los Usuarios portugueses. Los Autores de malware se estan presionando ACTIVAMENTE Nuevas Versiones de Telax (última versión 4.7) binarios y estan abusando de los Servidores de Google Cloud párrafo albergar la carga útil Para La Infección. ¡No hay Vulnerabilidad explotar hijo Que se utilizan en this Campaña y los atacantes unicamente confiando en la ingeniería social, párr infectar una los Usuarios finales.ThreatLabZ de Zscaler ha Confirmado la Cobertura Para El Programa de Descarga inicial y cargas Útiles Telax, Garantizar la Protección de Las Organizaciones que utilizan la plataforma de Seguridad de Internet de Zscaler. La Investigación Realizada por: Profundizar Desai, Nirmal Singh, Lenart Brave