Pazera, el troyano para entidades chilenas, sigue en activo

A principios de año analizamos una muestra de Pazera, un nuevo malware bancario para usuarios de Windows especialmente dirigido a múltiples entidades Chilenas y que llegaba a través de un correo que suplantaba la Policía chilena. Lamentablemente este troyano sigue muy activo incluso con más muestras.


En la actualidad hemos ya hemos detectado hasta siete muestras diferentes, todas ellas funcionan de un modo similar.

La cadena de infección pasa por diferentes estados hasta que el payload final se ejecuta en el ordenador del usuario. Para evitar la detección del antivirus, el payload se esconde dentro de un archivo zip protegido con clave.

Cadena de infección de Pazera


Primero el usuario recibe un correo del atacante suplantando una entidad conocida, por ejemplo el PDI (Policía de Investigaciones de Chile). De esta forma se trata de engañar al usuario a pulsar en la URL, lo que ejecutará un archivo ZIP que contiene un archivo Javascript, que es esencialmente el dropper. Tras ello contactará con un servidor diferente, descargará un archivo zip protegido con contraseña y lo almacenará en el equipo del usuario. En el siguiente paso descifra el archivo zip y lo ejecuta. Por último, la información sobre el ordenador infectado se envía a un servidor remoto de mando y control (C&C) que almacena información tal como el id de la computadora, el nombre de usuario, el antivirus, la versión de Windows, etc.

Una imagen del panel de Mando y Control de Pazera


Hemos publicado un completo informe en el que analizamos y ofrecemos muchos más detalles actualizados sobre este malware y las muestras detectadas, disponible desde:
https://hispasec.com/resources/reports/BreakingUpaBankingBotnet.pdf

Recordamos que este malware se inyecta en el navegador para obtener las credenciales de diferentes entidades bancarias chilenas. Para ellos monitoriza el texto de los títulos de pestañas y de las URLs que visitamos hasta dar con uno de sus objetivos.

Entre las entidades afectadas, se encuentran:
  • ScotiaBank
  • Banco Falabella (Chile)
  • Corpbanca
  • BBVA Chile
  • Santander Chile

Ante este tipo de amenazas donde los antivirus no llegan a tiempo, la pauta a seguir es comprobar que el correo electrónico está realmente emitido por la entidad, y en caso de tener adjuntos evitar abrirlos en su totalidad. Si fuese necesario, llamar a la entidad para comprobar que el correo realmente esté emitido por ellos o tenga alguna relación.

Más información:

una-al-dia (04/01/2017) Pazera, un troyano para entidades chilenas

Fernando Díaz

Antonio Sánchez

Via: unaaldia.hispasec.com
Pazera, el troyano para entidades chilenas, sigue en activo Pazera, el troyano para entidades chilenas, sigue en activo Reviewed by Lydecker Black on 16:31 Rating: 5