LOGOTD2016 2

Miercoles 21 de Febrero de 2018

+57(1) 361 87 14

Botnet IRC ataca a entidades colombianas.

Recientemente el Departamento Antifraude de Hispasec se ha encontrado con una muestra de malware que afecta a entidades colombianas, y que intenta afectar a los usuarios a través de un falso email de factura.

 

Si has recibido un e-mail como se muestra a  continuación, y además has ejecutado el binario que acompaña adjunto a este correo, entonces has caído en la infección de este troyano bancario.

 

 

Este malware, xe3u, cuenta con un "dropper" que comprueba que no se esté depurando el binario. Es éste el que descarga el binario malicioso, y realiza comprobaciones similares al "dropper" anteriormente mencionado. Una vez la victima está infectada, comienza a monitorizar los sitios web que el usuario visita, esperando a que entre en algún sitio de interés, esto es un banco. Además, de esta manera, evita atacar sobre sitios innecesarios para no levantar sospechas. Se comunica a través de un servidor IRC; que mantiene similitudes con el script por defecto que podemos encontrar a continuación:

 

 

 

A pesar de ser similar a éste archivo de configuración, su principal uso en este caso no es el de organizar una botnet para hacer ataques de denegación de servicio sino para la transmisión y robo de credenciales. A continuación podemos observar como modifica el login una vez estamos infectados. En la primera captura, podemos ver un fallo legítimo, sin embargo en el segundo saca al usuario de la sesión sin estar autenticado.

 

 

 

 

 

El troyano detecta que el usuario ha entrado en la web del banco, y comienza a monitorear la actividad que ocurre dentro. Una vez el cliente se autentica, recibe un falso mensaje de error en el login, y será entonces cuando el troyano reciba el OK para poder transmitir las credenciales:

 

 

Una vez ha robado la información, la envía a través de IRC al atacante; que recibe los datos obtenidos durante el proceso de autenticación.

 

 

 

Entre las entidades afectadas, se encuentran:
 

 

Como se puede observar, las entidades afectadas son colombianas, por lo que se trata de un troyano bancario dirigido específicamente a este país. Como siempre recomendamos extremar la precaución ante este tipo de amenazas, además de contar con mecanismos de protección como antivirus. Sin embargo, lo más prudente es evitar abrir e-mails de dudosa procedencia o que no confiemos en quien lo envía.

 

Fuente: hispasec.com

seo plugin e-max.it

Acceso

Suscripción

Términos y Condiciones

Somos una empresa conformada por un equipo de profesionales y técnicos capacitados permanentemente en las diferentes áreas de la tecnología, con el fin de estar al día en los continuos adelantos y cambios en la normalización y ajuste de procesos y procedimientos exigidos por los diferentes entes en las entidades estatales y públicas, “y de esta manera garantizar un excelente servicio.”

COPYRIGTH 2013 TD TECHNODIGITAL SAS. Prohibida su reproduccion total o parcial, asi como su traduccion a cualquier idioma sin autorizacion escrita de su titular.

Desarrollado por TD-TECHNODIGITAL SAS

 

CONTACTO

Calle 26b No 12i 30 

Bogota - Colombia

tdtechnodigital@tdtechnodigital.com

Tel: 361 87 14  Cel: 312-5463451 / 311-8739800