Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Pazera, el troyano para entidades chilenas, sigue en activo

Pazera, el troyano para entidades chilenas, sigue en activo

Por 1 comentario

A principios de año analizamosuna muestra de Pazera, un nuevo malware bancario para usuarios de Windows especialmente dirigido a múltiples entidades Chilenas y que llegaba a través de un correo que suplantaba la Policía chilena. Lamentablemente este troyano sigue muy activo incluso con más muestras.

//platform.twitter.com/widgets.js

En la actualidad hemos ya hemos detectado hasta siete muestras diferentes, todas ellas funcionan de un modo similar.
La cadena de infección pasa por diferentes estados hasta que el payload final se ejecuta en el ordenador del usuario. Para evitar la detección del antivirus, el payload se esconde dentro de un archivo zip protegido con clave.

Cadena de infección de Pazera
Primero el usuario recibe un correo del atacante suplantando una entidad conocida, por ejemplo el PDI (Policía de Investigaciones de Chile). De esta forma se trata de engañar al usuario a pulsar en la URL, lo que ejecutará un archivo ZIP que contiene un archivo Javascript, que es esencialmente el dropper. Tras ello contactará con un servidor diferente, descargará un archivo zip protegido con contraseña y lo almacenará en el equipo del usuario. En el siguiente paso descifra el archivo zip y lo ejecuta. Por último, la información sobre el ordenador infectado se envía a un servidor remoto de mando y control (C&C) que almacena información tal como el id de la computadora, el nombre de usuario, el antivirus, la versión de Windows, etc.

Una imagen del panel de Mando y Control de Pazera

Hemos publicado un completo informe en el que analizamos y ofrecemos muchos más detalles actualizados sobre este malware y las muestras detectadas, disponible desde:
https://hispasec.com/resources/reports/BreakingUpaBankingBotnet.pdf
Recordamos que este malware se inyecta en el navegador para obtener las credenciales de diferentes entidades bancarias chilenas. Para ellos monitoriza el texto de los títulos de pestañas y de las URLs que visitamos hasta dar con uno de sus objetivos.
Entre las entidades afectadas, se encuentran:
  • ScotiaBank
  • Banco Falabella (Chile)
  • Corpbanca
  • BBVA Chile
  • Santander Chile
Ante este tipo de amenazas donde los antivirus no llegan a tiempo, la pauta a seguir es comprobar que el correo electrónico está realmente emitido por la entidad, y en caso de tener adjuntos evitar abrirlos en su totalidad. Si fuese necesario, llamar a la entidad para comprobar que el correo realmente esté emitido por ellos o tenga alguna relación.
Más información:
una-al-dia (04/01/2017) Pazera, un troyano para entidades chilenas
http://unaaldia.hispasec.com/2017/01/pazera-un-troyano-para-entidades.html

Hispasec – Breaking Up a Banking Botnet
https://hispasec.com/resources/reports/BreakingUpaBankingBotnet.pdf

Fernando Díaz
fdiaz@hispasec.com
Antonio Sánchez
asanchez@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

Interacciones con los lectores

Comentarios

  1. Reclutamiento y selección dice

    En ocasiones reenvío este tipo de noticias a usuarios no técnicos pero para ellos no es fácil leer otros más especializados. Sería interesante una lista para usuarios caseros con las noticias que ellos pueden entender y que les ayudará a protegerse mejor al estar más informados

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.