Nuevo malware Troyano usa PowerShell

Publicado el 24 agosto 2016 ¬ 14:48 pmh.mscComentarios desactivados en Nuevo malware Troyano usa PowerShell

PowerShell de Microsoft está siendo utilizado como parte de un nuevo troyano bancario que tiene como objetivo a los usuarios brasileños. Los investigadores hicieron el descubrimiento a principios de esta semana y mencionan que este tipo de malware es cada vez más sofisticado.

El troyano bancario se identifica como “Trojan-Proxy.PowerShell.Agent.a” y es uno de los más avanzados de origen brasileño, dijo Fabio Assolini, un investigador senior de seguridad de Kaspersky Lab’s Global Research and Analysis Team en un blog el jueves pasado.

El malware se distribuye a través de una campaña de phishing en la cual los correos electrónicos se hacen pasar por un operador de telefonía móvil. Un archivo .PIF (información de archivos de programa) es enviado y se utiliza para atacar el equipo del usuario. Los archivos PIF se ejecutan con MS-DOS para funcionar en entornos Windows y pueden contener programas BAT, EXE o COM ocultos que se ejecutan automáticamente después de ejecutar el archivo.

En el caso de “Trojan-Proxy.PowerShell.Agent.a”, el archivo PIF cambia la configuración de proxy de Internet Explorer a un servidor proxy malicioso que redirecciona las conexiones a páginas de phishing para los bancos brasileños, dijo Assolini. Esos cambios en el sistema se realizan mediante scripts de PowerShell.

Esta forma de ataque es idéntica a como los criminales han aprovechado los archivos de configuración automática de proxy (PAC) en los ataques anteriores, dijo Assolini. Los archivos PAC están diseñados para permitir a los navegadores web seleccionar automáticamente el servidor proxy a utilizar para obtener una URL específica.

“Es la misma técnica utilizada por los PAC maliciosos que hemos descrito en 2013, pero esta vez no se utilizan los PAC; los cambios en el sistema se realizan mediante scripts de PowerShell”, escribió Assolini. No sólo son usuarios de Internet Explorer los afectados, sino también a aplica para Firefox y Chrome.

El malware no tiene comunicación de mando y control (C&C). En su lugar, una vez que se puso en marcha el archivo .PIF se ejecuta “powershell.exe” y el comando “-executionpolicy Bypass -File% TEMP% \ 599D.tmp \ 599E.ps1”. Este es un intento de eludir las directivas de ejecución de PowerShell, dijo Assolini. El malware cambia el archivo prefs.js, insertando el cambio del proxy malicioso.

Ver información original al respecto enn Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2973

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies