Análisis de código malicioso JavaScript

Nuevamente, los amigos de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , llevan adelante  análisis de malware,  principalmente de aparición en Brasil,  donde señalan un aumento de los scrips maliciosos.

Investigaciones pasadas del laboratorio de ESET, evidenciaron que hace un año las principales amenazas:

Citar"eran los Downloaders que instalaban troyanos bancarios, y los propios troyanos bancarios. Hoy la situación sigue siendo la misma, pero con un condimento especial: mientras que antes las amenazas eran archivos .exe de Windows

(con scrips ofuscados y payloads variados),

Citarhoy tenemos archivos .jar de Java, scripts de Visual Basic Script y de Javascript en el top 10 de amenazas."

Se destaca asimismo,  el cambio de plataformas y la pluralidad de lenguajes enfocados a la industria del malware.

El cuadro estadístico que adjunta es ilustrativo de lo que que viene de apuntarse:



En la entrega que comentamos, dan inicio al análisis con un código malicioso  en JavaScript y seleccionan -a modo de ejemplo- el archivo

Citar"Boleto_NFe_1405201421.PDF.js, detectado como VBS/Obfuscated.G por las soluciones de ESET."

Anotando que si bien  el código script está ofuscado, el cifrado empleado es fácil de revertir.  Más aún, reseñan que incluso sin descifrarlo puede observarse que

Citar"se descarga un supuesto archivo .jpg en la carpeta ProgramData bajo el nombre flashplayer.exe, el cual luego es ejecutado."

.

La situación relacionada puede verse en la imagen siguiente y destacado en rojo.


"Ese archivo, flashplayer.exe, es a su vez un Downloader de troyanos bancarios: descarga y deja en ejecución un tercer ejecutable de nombre Edge.exe. Este es detectado como una variante de Win32/Spy.KeyLogger.NDW, aunque no solo almacena los eventos de teclado, sino que es un banker completo. Entre sus funcionalidades está la de obtener la dirección del sitio web que el usuario está navegando y comparar contra entidades bancarias, usando DDE...y además incluyendo código para una mayor cantidad de navegadores" , como se observa en la imagen siguiente:



"Sus strings están cifradas con una forma de XOR, y a continuación se muestran algunas de ellas. Queda en evidencia que se está tratando de robar credenciales de acceso a sitios bancarios de Brasil."


El medio de propagación por excelencia sigue siendo el correos electrónico, donde se incluye el link y un "azuelo" para la descarga del malicius code.

Si bien los objetivos de los ciberdelincuentes persisten, es decir  obtener información para el robo de credenciales bancarias, la migración a nuevas plataformas y el uso de diversos lenguajes como constatan el laboratorio de ESET, pone de manifiesto no solo la expansión de los ciberdelitos, sino que la evasión de las detenciones muta y de algún modo se intenta perfeccionar; lo que indudablemente agrega un plus a este atrapante universo del malware.

El beneficio económico mueve cerebros, agudiza el ingenio y nos permite disfrutar de los análisis de expertos (en este caso muy simple) que nos develan el algoritmo o diseño mental para intentar la elusión de las soluciones de seguridad.

Las artimañas de engaño para que la víctima visite en link malicioso, también mejoran y hay que decirlo. Se han corregido las faltas y las traducciones no se presentan como manifiestamente burdas, lo que lleva a que el user desprevenido o desatento, actué como el gato; sí ese mismo que la curiosidad lo envió para el otro barrio.

Las imágenes son de la fuente que se cita.

Gabriela.

Muy buen aporte, gracias por compartir tus conocimientos!!