Ataque masivo de phishing a usuarios de Bancos Turcos
8 de Octubre/Fuente: Comodo
La inmensa sin precedentes ola de ataques de phishing llegó a los usuarios de los principales bancos de Turquía. Decenas de miles de correos electrónicos envenenadas deja caer en las bandejas de entrada de los usuarios para penetrar en secreto sus equipos y dar a los atacantes un control total sobre los que sería mala suerte de tener a los autores cebo. Con sofisticados y difíciles de descubrir malware adjunto, las ondas se propagan de phishing muchos países de todo el mundo, pero fueron detenidos por los recursos de Comodo.
El correos electrónicos: el engaño está golpeando en su bandeja de entrada
Los correos electrónicos de phishing imitados diversos mensajes de los principales bancos de Turquía - Turkiye Is Bankasi Garanti Bankasi, T.Halk Bankasi, Yapi Kredi Bank, TC Ziraat Bankasi.
El mayor número de correos electrónicos, 22567, estaban disfrazados como mensajes de Turkiye ls Bankasi banco, el primero y el banco más grande de Turquía. El mensaje se puede ver en la pantalla a continuación en turco significa “5406 ** ** 9306 de 10 de septiembre, 2018, se une a los detalles de su tarjeta de crédito”.
Otro de 424 correos electrónicos imitados mensajes Garanti Bankasi ...
... y 865 hizo pasar por un correo electrónico de T. Halk Bankasi AS
... 619 correos electrónicos imitaban Yapi Kredi Bank
... y otro 279 canse la máscara de TC Ziraat Bankasi.
Todos los correos electrónicos contienen un mensaje de “deuda” o “tarjeta de crédito” para atraer a los usuarios en la apertura de los archivos adjuntos. Por supuesto, los archivos contenían malware. Pero de qué tipo?
El software malicioso: Puerta de apertura para el enemigo
En realidad, todos los correos electrónicos lleva dos tipos de archivos de malware: .EXE y .JAR. A continuación se muestra el análisis del archivo JAR llevada a cabo por las amenazas Comodo Research Labs analistas.
Vamos a ver cómo este malware disimulado puede dañar a los usuarios si se quedan sin ella.
En primer lugar, se trata de detectar y salir de las aplicaciones de seguridad que se ejecutan en el equipo de destino. Se llama taskkill varias veces, con una larga lista de ejecutables de diferentes proveedores. Luego se coloca un archivo .reg y lo importa en el registro.
Por lo tanto, cambia la configuración de Administrador de archivos adjuntos para permitir la ejecución de archivos ejecutables recibidos de Internet sin ningún tipo de advertencias, desactiva el administrador de tareas y altera las claves de registro IEFO de aplicaciones de seguridad.
Además, se crea un identificador de instalación y lo pone en un archivo de texto en una trayectoria generada de forma aleatoria. Los atacantes utilizarán este ID para identificar la máquina infectada.
Después de eso, se cae y se ejecuta dos archivos VBS para detectar el antivirus y firewall instalado en el sistema.
A continuación, se añade una clave de inicio para funcionar en cada reinicio. se añade el valor de ejecución automática para un usuario actual de manera que no aparecerá ningún mensaje de UAC alarmante. Y entonces se puso en marcha desde la nueva ubicación
Ejecutados desde la nueva ubicación o al reiniciar del sistema, se deja caer otro archivo JAR “_0. <Random_number> .class” a la carpeta temporal y ejecutarlo.
Significativamente, el .JAR se puso en marcha a través de la aplicación WMIADAP. Ya que es un componente de Windows, algunos software de seguridad podría permitir su ejecución sin ninguna restricción. Un truco más para omitir la protección.
Ahora es el momento de la verdad: podemos ver la verdadera cara del malware ataca clientes de los bancos. Es una puerta trasera escrita en Java conocida como TrojWare.Java.JRat.E. Su objetivo es proporcionar acceso remoto no autorizado a las máquinas infectadas.
Como se ve en la pantalla, el paquete JAR contiene un archivo cifrado - “mega.download”. Descifrado, que revela las propiedades de malware:
Lo que queda por hacer es averiguar qué se esconde detrás del recurso “ywe.u”.
Más adelante, podemos extraer y descifrar el archivo .config software malicioso para descubrir sus opciones de configuración.
Y ya está! Vemos ahora que el malware se conecta al servidor de 185.148.241.60 de los atacantes para informar acerca de infectar con éxito la nueva víctima y luego espera instrucciones de los autores.
Usted debe estar preguntándose cómo es exactamente el malware daña el usuario. Como cualquier puerta trasera, el malware permite el acceso encubierta a la máquina comprometida y por lo tanto la mano sobre él bajo el control total de los cibercriminales. Ellos pueden robar información, añadir otro malware o utilizar la máquina infectada para distribuir malware y atacar a otros usuarios de todo el mundo.
“Es, definitivamente, los ataques más complicados que parece ser a primera vista”, dice Fatih Orhan, el jefe de la amenaza Comodo Research Labs. “No es un phishing regular para obtener datos bancarios sino un esfuerzo para implantar un malware que se da a los atacantes el control total de las máquinas infectadas durante mucho tiempo, mientras que las víctimas podrían seguir siendo conscientes del hecho de sus equipos están en manos de los perpetradores.
Mientras tanto, los autores pueden utilizar de forma encubierta las máquinas comprometidas en diferentes formas para que sus múltiples propósitos criminales y ganancias. Por ejemplo, en un principio pueden robar las credenciales de cuentas de la víctima. Luego se puede utilizar una máquina infectada como parte de una red de bots para propagar malware o realizar ataques DDoS en otros usuarios. Además de eso, pueden espiar constantemente la actividad de las víctimas.
Además, el alcance de los ataques es impresionante. Parece que los atacantes trataron de crear una red de miles de ordenadores controlados para la realización de múltiples ataques en todo el mundo. No quiero ni pensar la cantidad de usuarios que han sido víctimas de Comodo si no había dejado de esos ataques”.
Vivir seguro con Comodo!
Los mapas de calor y direcciones IP utilizadas en los ataques
Turquía Banco de Negocios
El ataque se llevó a cabo de Turquía, Chipre, España, Malasia, Países Bajos y EE.UU. IPs. Se inició el 10 de septiembre de 2018 05:01:49 GMT y terminó el 10 de septiembre de 2018 07:10:10 GMT.
Top 5 del ataque IPs
TR | 213.161.149.46 | 2260 |
TR | 213.161.149.47 | 8957 |
TR | 213.161.149.48 | 9256 |
TR | 213.161.149.56 | 1043 |
NOS | 67.210.102.208 | 336 |
Garanti Bank
El ataque se realizó entre Chipre y el Reino Unido IPs. Se inició el 24 de septiembre de 2018 09:38:29 GMT y terminó el 26 de septiembre de 2018 11:01:10 GMT.
Top 5 IPs usan el ataque
CY | 93.89.232.206 | 184 |
GB | 163.172.197.245 | 240 |
T. Halk Bankasi
El ataque se llevó a cabo desde Chipre, Reino Unido, Turquía, Estados Unidos y la India. Se inició el 24 de septiembre de 2018 10:28:06 GMT y terminó el 27 de septiembre de 2018 14:54:55 GMT.
Top 5 de las direcciones IP utilizadas en el ataque
NOS | 67.210.102.208 | 629 |
CY | 93.89.232.206 | 152 |
TR | 185.15.42.74 | 36 |
NOS | 172.41.40.254 | 24 |
TR | 95.173.186.196 | 17 |
TC Ziraat Bankasi
El ataque se realizó entre Turquía y Chipre IPs. Comenzó día 05 Septiembre, 2018 12:55:50 GMT y terminó el 24 de septiembre de 2018 09:32:18 GMT.
Las direcciones IP utilizadas en el ataque
CY | 93.89.232.206 | 105 |
TR | 31.169.73.61 | 279 |
Yapi ve Kredi Banco
El ataque se llevó a cabo de Turquía, Sudáfrica, Alemania y los PI. Se inició el 25 de septiembre de 2018 09:54:48 GMT y terminó el 26 de septiembre de 2018 15:10:49 GMT.
Top 5 IPs usadas en el ataque
TR | 31.169.73.61 | 374 |
TR | 193.192.122.98 | 129 |
TR | 194.27.74.55 | 26 |
TR | 193.140.143.15 | 20 |
TR | 193.255.51.105 | 10 |