A principios de año analizamosuna muestra de Pazera, un nuevo malware bancario para usuarios de Windows especialmente dirigido a múltiples entidades Chilenas y que llegaba a través de un correo que suplantaba la Policía chilena. Lamentablemente este troyano sigue muy activo incluso con más muestras.
Interesante análisis de Pazera, un troyano para entidades chilenas https://t.co/3K6jgr3UN9 En @hispasec @unaaldia por @entdark_ y @jsmesa— Antonio Ropero (@aropero) 4 de enero de 2017
En la actualidad hemos ya hemos detectado hasta siete muestras diferentes, todas ellas funcionan de un modo similar.
La cadena de infección pasa por diferentes estados hasta que el payload final se ejecuta en el ordenador del usuario. Para evitar la detección del antivirus, el payload se esconde dentro de un archivo zip protegido con clave.
 |
| Cadena de infección de Pazera |
Primero el usuario recibe un correo del atacante suplantando una entidad conocida, por ejemplo el PDI (Policía de Investigaciones de Chile). De esta forma se trata de engañar al usuario a pulsar en la URL, lo que ejecutará un archivo ZIP que contiene un archivo Javascript, que es esencialmente el dropper. Tras ello contactará con un servidor diferente, descargará un archivo zip protegido con contraseña y lo almacenará en el equipo del usuario. En el siguiente paso descifra el archivo zip y lo ejecuta. Por último, la información sobre el ordenador infectado se envía a un servidor remoto de mando y control (C&C) que almacena información tal como el id de la computadora, el nombre de usuario, el antivirus, la versión de Windows, etc.
 |
| Una imagen del panel de Mando y Control de Pazera |
Hemos publicado un completo informe en el que analizamos y ofrecemos muchos más detalles actualizados sobre este malware y las muestras detectadas, disponible desde:
https://hispasec.com/resources/reports/BreakingUpaBankingBotnet.pdf
https://hispasec.com/resources/reports/BreakingUpaBankingBotnet.pdf
Recordamos que este malware se inyecta en el navegador para obtener las credenciales de diferentes entidades bancarias chilenas. Para ellos monitoriza el texto de los títulos de pestañas y de las URLs que visitamos hasta dar con uno de sus objetivos.
Entre las entidades afectadas, se encuentran:
- ScotiaBank
- Banco Falabella (Chile)
- Corpbanca
- BBVA Chile
- Santander Chile
Ante este tipo de amenazas donde los antivirus no llegan a tiempo, la pauta a seguir es comprobar que el correo electrónico está realmente emitido por la entidad, y en caso de tener adjuntos evitar abrirlos en su totalidad. Si fuese necesario, llamar a la entidad para comprobar que el correo realmente esté emitido por ellos o tenga alguna relación.
Más información:
una-al-dia (04/01/2017) Pazera, un troyano para entidades chilenas
http://unaaldia.hispasec.com/2017/01/pazera-un-troyano-para-entidades.html
Hispasec – Breaking Up a Banking Botnet
https://hispasec.com/resources/reports/BreakingUpaBankingBotnet.pdf
Fernando Díaz
Antonio Sánchez
En ocasiones reenvío este tipo de noticias a usuarios no técnicos pero para ellos no es fácil leer otros más especializados. Sería interesante una lista para usuarios caseros con las noticias que ellos pueden entender y que les ayudará a protegerse mejor al estar más informados