Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Regreso de Retefe Troyano Bancario

  • Publicado: 07/05/2019
  • Importancia: Alta

Recursos afectados

Retefe es un troyano bancario que en sus antecedentes ha enrutado en tráfico bancario en línea destinado a los bancos objetivos a través de un proxy para redireccionar a usuarios a páginas bancarias falsas para robo de credenciales.

Su método de propagación es por medio de un JS comprimido en documentos de Microsoft Office.

En el regreso se notaron cambios sobresalientes:

Uso de stunnel (proxy diseñado para agregar la funcionalidad de cifrado TLS a los clientes y servidores existentes sin ningún cambio en el código de los programas) en lugar de Tor para asegurar las comunicaciones de redirección de proxy y de mando y control.

El abuso de una aplicación shareware conocida como “Convertir PDF a Word Plus 1.0”, este es un script desarrollado en Phyton que se ha empaquetado como un ejecutable de PyInstaller.

El uso de Smoke loader (Malware con objetivo principal de robar credenciales, además capaz de distribuir Ransomware o software de minería de criptomonedas) en vez de sLoad como cargador intermedio.

Según Proofpoint el malware abusa de shareware como parte de la Instalación de Retefe, que se origina en http://lettercreate .com unipdf/convert-pdf-to-word-plus[.exe y utiliza un certificado emitido por DigiCert.

Captura.PNG

Código Python resultante cuando convert-pdf-to-word-plus.exe se desempaqueta, desempaqueta y descompila.

En el archivo de Python se encuentran dos archivos llamado convert-pdf-to-word-plus.exe y convert-pdf-to-word-plus_driver.exe que escribe en el directorio Temp y los ejecuta.

Se cree que el primer archivo es legítimo y solo se usa como un señuelo, l archivo convert-pdf-to-word-plus_driver.exe si es malicioso, cuando se ejecuta extrae 7-Zip y stunnel, y luego descifra y ejecuta el código malicioso principal de Retefe.

Captura.PNG

Etiquetas