Software malicioso XPCTRA
XPCTRA Malware es una nueva variedad de malware bancario que se implementa principalmente contra usuarios brasileños. Los aspectos centrales que se esperan de una amenaza de este tipo también están presentes aquí. XPCTRA puede recopilar credenciales de usuario de múltiples instituciones financieras, incluidos dos importantes bancos brasileños. Sin embargo, las capacidades amenazantes de la amenaza van mucho más allá de ese punto, ya que también puede recolectar credenciales para criptobilleteras digitales en línea de servicios como Blockchain.info, PerfectMoney y Neteller. Además, establece un canal de puerta trasera al colocar un RAT (troyano de acceso remoto).
Para su vector de ataque inicial, XPCTRA se basa en correos electrónicos de phishing que pretenden llevar facturas bancarias importantes para el usuario. Todo esto es falso, por supuesto, y cuando se ejecuta la supuesta factura en PDF, se descarga un cuentagotas amenazante en el sistema informático del usuario. El cuentagotas actúa como una carga útil de primera etapa encargada de entregar un archivo .zip que contiene la carga útil principal de XPCTRA.
Una vez dentro del sistema de destino, el malware bancario procede a crear un mecanismo de persistencia para sí mismo, así como a establecer una herramienta de proxy HTTP llamada Fiddler. Esta herramienta permite a XPCTRA monitorear e interceptar el acceso de los usuarios a las instituciones financieras objetivo. Todas las credenciales robadas se filtran al servidor de comando y control de los piratas informáticos a través de un canal de comunicación no cifrado. Los servicios de correo electrónico del usuario como Microsoft Live, Terra, IG y Hotmail también se ven comprometidos, y las listas de contactos obtenidas se utilizan para difundir aún más la amenaza.
XPCTRA no se limita únicamente al robo de credenciales. Amplía sus capacidades amenazantes al entregar una infraestructura RAT (Troyano de acceso remoto) conocida como Quasar RAT a la víctima comprometida. A través de este canal, los hackers pueden descargar módulos adicionales de carga útil, establecer keyloggers, exfiltrar archivos seleccionados, etc.
