comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Theola, malware utiliza plugin de Chrome para fraude bancario

  • 0 Respuestas
  • 1410 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado LucaSthefano

  • *
  • Underc0der
  • Mensajes: 399
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Marzo 23, 2013, 05:52:03 pm »
Win32/Theola es uno de los componentes de la familia de bootkits Win32/Menroot.FX que es conocida desde el año 2007. Esta familia abarca plugins maliciosos instalados sobre navegadores por el malware Mebroot para realizar operaciones bancarias fraudulentas.

Se ha realizado un seguimiento y se ha notado un incremento en las detecciones de este plugin desde fines de enero del 2013. Los países más afectados son Noruega, Italia, Dinamarca y República Checa. Sin embargo, también se ven diversos países de la región afectados, tales como Venezuela, Argentina, Chile, Perú, Ecuador y Colombia, entre otros. A continuación se adjunta una captura de Virus Radar que ilustra los países más afectados del globo:


Mebroot utiliza métodos típico de infección MBR con un handler int13 utilizado para acceder a los componentes del disco duro. Los componentes maliciosos son cargados en el siguiente orden:


Plugin de Chrome

Win32/Theola.F es un plugin de Chrome basado en la interfaz NPAPI (Netscape Plugin Application Programming Interface). Asimismo, posee un módulo nativo y se encuentra empaquetado en formato CRX (CRX package format). En la siguiente imagen puede observarse el archivo manifest con los permisos del contenedor CRX:


Tal como se observa en la imagen, el archivo describe la actividad permitida para el plugin. En otras palabras, el nivel de permisos es el suficiente para permitir operaciones fraudulentas y maliciosas. Además, el proceso de carga en Google Chrome es el siguiente:


Luego de desofuscar el primer método en JavaScript, se procede a la carga del módulo bajo el concepto de default-plugin para Google Chrome:


Asimismo, el módulo en JavaScript modifica el método POST para todos los formularios en la página web que ha sido accedida. A continuación, los campos de contraseñas se hacen visibles (en beneficio para el atacante) y se utiliza funcionalidades de grabación de video como la que se describen a continuación:


Continuando con el análisis se observa el plugin malicioso en el panel de extensiones:


La rutina NP_GetEntryPoints() llama al proceso que carga el plugin y obtiene los punteros a otras funciones necesarias para trabajar en conjunto con el navegador. A continuación puede observarse el código decompilado:


Theola posee una funcionalidad de grabación de vídeo basado en la librería de código abierto x264 para grabar en formato MPEG. La siguiente captura corresponde a la vtable (virtual table) de la función principal de Theola:


Una vez que el plugin malicioso ha iniciado, la función addListeners() carga el código en JavaScript para comenzar el tracking o seguimiento de la actividad web en el sistema infectado:


Además, el código JavaScript para la manipulación de URL es el siguiente:

[/img]

Considerando la función beforeNavigate() en el método nativo, el código es el siguiente:


En caso de que se detecte actividad sobre un sitio web de una entidad bancaria, el código malicioso envía información sensible como contraseñas, números de tarjeta de crédito, entre otras. El envío se realiza a través de una tubería (pipe) cuyo nombre es determinado por el siguiente algoritmo:


Todas las comunicaciones con el módulo que opera en modo Kernel y aquellos que operan en modo usuario están implementados mediante handlers con nombres especiales en el plugin. Cada uno de estos manejadores (handlers) son responsables por la ejecución de un tipo específico de eventos.

En casos similares al expuesto, los códigos maliciosos utilizan lo que se conoce como hooking a nivel de usuario para interceptar la actividad de red. Sin embargo, Theola utiliza métodos documentados y específicos que dificultan la detección de códigos de esta naturaleza

Traducido y adaptado.

Autor: Aleksandr Matrosov
Fuente: Laboratorios ESET

 

¿Te gustó el post? COMPARTILO!



ANTI-Cuckoo: herramienta para detectar y crashear el Sandbox de Cuckoo.

Iniciado por Gabriela

Respuestas: 0
Vistas: 1238
Último mensaje Julio 11, 2015, 02:48:12 pm
por Gabriela
Linux/Snakso.A: rootkit diseñado para inyectar Iframe en servidores web

Iniciado por LucaSthefano

Respuestas: 0
Vistas: 1255
Último mensaje Noviembre 21, 2012, 08:51:37 pm
por LucaSthefano
SysKey para proteger la base de datos del Administrador de cuentas de seguridad

Iniciado por Aryenal.Bt

Respuestas: 1
Vistas: 2373
Último mensaje Agosto 17, 2012, 03:47:03 pm
por baron.power
Servidor de Piwik vulnerado y utilizado para propagar código malicioso

Iniciado por LucaSthefano

Respuestas: 0
Vistas: 1359
Último mensaje Noviembre 30, 2012, 09:48:06 pm
por LucaSthefano
Herramienta para recuperar los archivos cifrados por el ransomware Gomasom

Iniciado por Stiuvert

Respuestas: 0
Vistas: 1510
Último mensaje Enero 08, 2016, 05:55:27 am
por Stiuvert