SolarSys

SolarSys es una nueva amenaza troyana que se está implementando contra usuarios ubicados en Brasil. La región de América del Sur y especialmente Brasil ha registrado muchas más campañas de ataque que involucran cargas útiles de troyanos bancarios que el resto del mundo, y SolarSys sí tiene capacidades de troyanos bancarios. En su conjunto, SolarSys se compone de varios componentes dañinos, cada uno de los cuales tiene la tarea de ejecutar una acción diferente en el sistema comprometido.

El troyano se entrega a través de instaladores MSI falsos que pretenden ser Java o Microsoft HTML Help. Una vez iniciado. Sin embargo, llaman a InstallUtil, que se utiliza para ejecutar el archivo de biblioteca dinámica .Net llamado ' uninstall.dll ' que lleva la carga útil de la puerta trasera de la primera etapa. ' Uninstall.dll ' ejecuta la puerta trasera de JavaScript en la memoria, configura el mecanismo de persistencia registrándose en AutoRun y ejecuta Install.js, un cuentagotas responsable de la entrega de las cargas útiles de la segunda etapa.

El primer módulo está diseñado para propagar aún más el troyano bancario al obtener listas de contactos de la computadora del usuario comprometido y enviar correos electrónicos de phishing con archivos adjuntos con malware. Los títulos de los correos electrónicos están configurados para que suenen importantes o urgentes para llamar la atención de los destinatarios. Es posible que algunos usuarios no sospechen que algo está sucediendo debido a que el remitente de los correos electrónicos es alguien que conocen. Tras la ejecución, los archivos adjuntos comenzarán a soltar cargas útiles corruptas a través de inyecciones de plantilla.

El segundo módulo dañado, una parte de SolarSys, intentará recopilar las credenciales del navegador Google Chrome. Entre la información que obtiene el malware se encuentran los datos de navegación del usuario, las credenciales de inicio de sesión del sitio web, etc.

El módulo final es el responsable de obtener la información bancaria del usuario. Se entrega como un archivo llamado 'BOM.bin'. El troyano bancario comienza a escanear los sitios web visitados por el usuario comprometido en busca de una coincidencia con su lista de bancos objetivo. Luego genera una superposición que muestra una página de inicio de sesión falsa, donde se anima a la víctima a ingresar varias credenciales de inicio de sesión que luego se exfiltran a los atacantes. Entre los bancos suplantados por SolarSys se encuentran Banco Mercantil, Banco do Nordeste, CrediSIS, Banrisul, Safra, Banco do Brasil, Bradesco, Sicoob, Banco Itaú, Santander, Banco Inter, Banestes, Banpará y otras instituciones bancarias brasileñas.

Tendencias

Mas Visto

Cargando...