El método de propagación de esta amenaza se realiza principalmente por medio
de correos de phishing intentando suplantar a diferentes instituciones y
utilizando pretextos como facturas, recibos, comunicados judiciales de varios
países (Argentina, México, etc).
En esta campaña, denominada
Appaloosa
por la empresa SCILabs, los archivos descargados varían pero en general
se trata de un archivo PDF el cual intenta suplantar a una organización
conocida, por ejemplo la Comisión Federal de Electricidad (CFE) en México o
AFIP en Argentin. La campaña utiliza un recibo de pago o factura como
pretexto. En general se trata de la distribución de troyanos como URSA/Mispadu
(Troyano Bancario), Grandoreiro (Troyano Bancario), y Banload (Dropper).
El objetivo principal de esta amenaza es robar información bancaria de
múltiples instituciones financieras de clientes ubicados en Argentina, México,
Estados Unidos y Portugal. Sin embargo, con base en el monitoreo de la región,
existe la posibilidad de que en un futuro cercano intenten robar información
de instituciones financieras con presencia en otros países, tanto de LATAM,
como de otros lugares en el mundo.
Teniendo en cuenta que la campaña aparentemente aún se encuentra en
desarrollo, el objetivo de este documento es presentar toda la información
disponible hasta el momento, para permitir a las organizaciones identificar y
reconocer de manera preventiva el comportamiento de este troyano bancario, así
como sus TTPs e IoCs, con el fin de evitar ser víctima de esta amenaza.
El objetivo principal del malware, es robar información bancaria de múltiples
entidades financieras de todo tipo de usuarios, incluidos los empleados de las
organizaciones.
Red Appaloosa fue observada por SCILabs durante la primera semana de enero del
2023 y ha sido monitoreada desde noviembre del 2022.
La distribución del malware comienza a través de correos electrónicos de
phishing que contienen URLs y/o archivos PDF o HTML adjuntos, con pretextos
variados, relacionados con el cobro de facturas, vigencia de derechos,
comprobantes fiscales digitales y recibos de pago, entre otros.
El propósito del PDF es redirigir a la víctima a un sitio web para descargar
un archivo comprimido con formato ZIP, el cual contiene un EXE con un tamaño
mayor a los 300MB. Al ejecutarlo se despliega en pantalla la validación de un
CAPTCHA, una vez resuelto, comienzan las siguientes etapas del malware.
Posterior a la validación del CAPTCHA, comienza también la descarga de un
archivo en formato MPEG, aunque tiene la apariencia de un video, este
artefacto en realidad es un archivo comprimido, el cual tiene dentro 2
directorios, un instalador y 3 DLLs (una de ellas maliciosa y superior a los
500MB).
Finalmente, intenta comunicarse con su servidor de comando y control, y
comienza a esperar que el usuario ingrese al portal de su banco para robar su
información bancaria. A continuación, se muestra el flujo del ataque:
El peligro de esta amenaza radica en que es un troyano bancario que
está tomando los «mejores y más efectivos» TTPs de otras amenazas que afectan a
LATAM y los está utilizando en su cadena de infección, para tener un mayor
porcentaje de éxito en sus ataques, debido a que la campaña está diseñada para
retrasar los análisis de los investigadores, evadir soluciones de seguridad (que
sólo pueden analizar artefactos menores a 100MB), evadir soluciones de seguridad
que ejecutan automáticamente las muestras para determinar si son o no
maliciosas, y evadir soluciones de seguridad que sólo monitorean la creación de
procesos maliciosos pero no monitorean procesos legítimos que podrían cargar una
DLL maliciosa en memoria.
La empresa SCILabs de México está monitoreando esta amenaza para dar contexto sobre los nuevos hallazgos.
Fuente: SCILabs
Los comentarios están cerrados.