56A7D9DE4EA7DACC677A9244A49FEE38 " />
Overblog
Edit post Seguir este blog Administration + Create my blog

Ataque masivo de phishing a usuarios de Bancos Turcos

por Bienvenidos a Portal Tecnologico 8 Octubre 2018, 19:23 Articulos Alerta Informatica Ataque Phishing Banco Turcos Malware Pc usuarios Comodo

8 de Octubre/Fuente: Comodo

La inmensa sin precedentes ola de ataques de phishing llegó a los usuarios de los principales bancos de Turquía. Decenas de miles de correos electrónicos envenenadas deja caer en las bandejas de entrada de los usuarios para penetrar en secreto sus equipos y dar a los atacantes un control total sobre los que sería mala suerte de tener a los autores cebo. Con sofisticados y difíciles de descubrir malware adjunto, las ondas se propagan de phishing muchos países de todo el mundo, pero fueron detenidos por los recursos de Comodo.

El correos electrónicos: el engaño está golpeando en su bandeja de entrada

Los correos electrónicos de phishing imitados diversos mensajes de los principales bancos de Turquía - Turkiye Is Bankasi Garanti Bankasi, T.Halk Bankasi, Yapi Kredi Bank, TC Ziraat Bankasi. 
El mayor número de correos electrónicos, 22567, estaban disfrazados como mensajes de Turkiye ls Bankasi banco, el primero y el banco más grande de Turquía. El mensaje se puede ver en la pantalla a continuación en turco significa “5406 ** ** 9306 de 10 de septiembre, 2018, se une a los detalles de su tarjeta de crédito”.

ataques de phishing

Otro de 424 correos electrónicos imitados mensajes Garanti Bankasi ...

phishing de correo electrónico

... y 865 hizo pasar por un correo electrónico de T. Halk Bankasi AS

electrónico de phishing

... 619 correos electrónicos imitaban Yapi Kredi Bank

ataques de phishing

... y otro 279 canse la máscara de TC Ziraat Bankasi.

Los correos de phishing

Todos los correos electrónicos contienen un mensaje de “deuda” o “tarjeta de crédito” para atraer a los usuarios en la apertura de los archivos adjuntos. Por supuesto, los archivos contenían malware. Pero de qué tipo?

El software malicioso: Puerta de apertura para el enemigo
En realidad, todos los correos electrónicos lleva dos tipos de archivos de malware: .EXE y .JAR. A continuación se muestra el análisis del archivo JAR llevada a cabo por las amenazas Comodo Research Labs analistas.

archivo de software malicioso

Vamos a ver cómo este malware disimulado puede dañar a los usuarios si se quedan sin ella. 
En primer lugar, se trata de detectar y salir de las aplicaciones de seguridad que se ejecutan en el equipo de destino. Se llama taskkill varias veces, con una larga lista de ejecutables de diferentes proveedores. Luego se coloca un archivo .reg y lo importa en el registro.

exe software malicioso

Por lo tanto, cambia la configuración de Administrador de archivos adjuntos para permitir la ejecución de archivos ejecutables recibidos de Internet sin ningún tipo de advertencias, desactiva el administrador de tareas y altera las claves de registro IEFO de aplicaciones de seguridad.

archivo de texto de malware

Además, se crea un identificador de instalación y lo pone en un archivo de texto en una trayectoria generada de forma aleatoria. Los atacantes utilizarán este ID para identificar la máquina infectada.

archivos VBS

Después de eso, se cae y se ejecuta dos archivos VBS para detectar el antivirus y firewall instalado en el sistema.

clave de inicio

A continuación, se añade una clave de inicio para funcionar en cada reinicio. se añade el valor de ejecución automática para un usuario actual de manera que no aparecerá ningún mensaje de UAC alarmante. Y entonces se puso en marcha desde la nueva ubicación

archivo JAR

Ejecutados desde la nueva ubicación o al reiniciar del sistema, se deja caer otro archivo JAR “_0. <Random_number> .class” a la carpeta temporal y ejecutarlo.

aplicación WMIADAP

Significativamente, el .JAR se puso en marcha a través de la aplicación WMIADAP. Ya que es un componente de Windows, algunos software de seguridad podría permitir su ejecución sin ninguna restricción. Un truco más para omitir la protección.

Ahora es el momento de la verdad: podemos ver la verdadera cara del malware ataca clientes de los bancos. Es una puerta trasera escrita en Java conocida como TrojWare.Java.JRat.E. Su objetivo es proporcionar acceso remoto no autorizado a las máquinas infectadas.

paquete JAR

Como se ve en la pantalla, el paquete JAR contiene un archivo cifrado - “mega.download”. Descifrado, que revela las propiedades de malware:

fecha YWE

Lo que queda por hacer es averiguar qué se esconde detrás del recurso “ywe.u”.

Archivo de configuración

Más adelante, podemos extraer y descifrar el archivo .config software malicioso para descubrir sus opciones de configuración.

los datos de malware

Y ya está! Vemos ahora que el malware se conecta al servidor de 185.148.241.60 de los atacantes para informar acerca de infectar con éxito la nueva víctima y luego espera instrucciones de los autores.

filtro de conversación

Usted debe estar preguntándose cómo es exactamente el malware daña el usuario. Como cualquier puerta trasera, el malware permite el acceso encubierta a la máquina comprometida y por lo tanto la mano sobre él bajo el control total de los cibercriminales. Ellos pueden robar información, añadir otro malware o utilizar la máquina infectada para distribuir malware y atacar a otros usuarios de todo el mundo.

“Es, definitivamente, los ataques más complicados que parece ser a primera vista”, dice Fatih Orhan, el jefe de la amenaza Comodo Research Labs. “No es un phishing regular para obtener datos bancarios sino un esfuerzo para implantar un malware que se da a los atacantes el control total de las máquinas infectadas durante mucho tiempo, mientras que las víctimas podrían seguir siendo conscientes del hecho de sus equipos están en manos de los perpetradores.

Mientras tanto, los autores pueden utilizar de forma encubierta las máquinas comprometidas en diferentes formas para que sus múltiples propósitos criminales y ganancias. Por ejemplo, en un principio pueden robar las credenciales de cuentas de la víctima. Luego se puede utilizar una máquina infectada como parte de una red de bots para propagar malware o realizar ataques DDoS en otros usuarios. Además de eso, pueden espiar constantemente la actividad de las víctimas.

Además, el alcance de los ataques es impresionante. Parece que los atacantes trataron de crear una red de miles de ordenadores controlados para la realización de múltiples ataques en todo el mundo. No quiero ni pensar la cantidad de usuarios que han sido víctimas de Comodo si no había dejado de esos ataques”. 
Vivir seguro con Comodo!

Los mapas de calor y direcciones IP utilizadas en los ataques

Turquía Banco de Negocios

El ataque se llevó a cabo de Turquía, Chipre, España, Malasia, Países Bajos y EE.UU. IPs. Se inició el 10 de septiembre de 2018 05:01:49 GMT y terminó el 10 de septiembre de 2018 07:10:10 GMT.

Turquía Banco de Negocios

Top 5 del ataque IPs

TR213.161.149.462260
TR213.161.149.478957
TR213.161.149.489256
TR213.161.149.561043
NOS67.210.102.208336

Garanti Bank

El ataque se realizó entre Chipre y el Reino Unido IPs. Se inició el 24 de septiembre de 2018 09:38:29 GMT y terminó el 26 de septiembre de 2018 11:01:10 GMT.

Garanti Bank

Top 5 IPs usan el ataque

CY93.89.232.206184
GB163.172.197.245240

T. Halk Bankasi

El ataque se llevó a cabo desde Chipre, Reino Unido, Turquía, Estados Unidos y la India. Se inició el 24 de septiembre de 2018 10:28:06 GMT y terminó el 27 de septiembre de 2018 14:54:55 GMT.T. Halk Bankasi

Top 5 de las direcciones IP utilizadas en el ataque

NOS67.210.102.208629
CY93.89.232.206152
TR185.15.42.7436
NOS172.41.40.25424
TR95.173.186.19617

Chipre

TC Ziraat Bankasi

El ataque se realizó entre Turquía y Chipre IPs. Comenzó día 05 Septiembre, 2018 12:55:50 GMT y terminó el 24 de septiembre de 2018 09:32:18 GMT.

TC Ziraat Bankasi

Las direcciones IP utilizadas en el ataque

CY93.89.232.206105
TR31.169.73.61279

Yapi ve Kredi Banco
El ataque se llevó a cabo de Turquía, Sudáfrica, Alemania y los PI. Se inició el 25 de septiembre de 2018 09:54:48 GMT y terminó el 26 de septiembre de 2018 15:10:49 GMT.

Top 5 IPs usadas en el ataque

TR31.169.73.61374
TR193.192.122.98129
TR194.27.74.5526
TR193.140.143.1520
TR193.255.51.10510
Para estar informado de los últimos artículos, suscríbase:
Comentarios

Ir arriba