Tiempo de leer: 6 minutos
La inmensa ola de ataques de phishing golpeó a los usuarios de los principales bancos de Turquía. Los correos electrónicos envenenados cayeron en las bandejas de entrada de los usuarios para penetrar encubiertamente en sus computadoras y darles a los atacantes el control total sobre aquellos que serían desafortunados para atrapar a los perpetradores. Con el software malicioso sofisticado y difícil de descubrir, las oleadas de phishing se extendieron desde muchos países del mundo, pero fueron detenidos por los recursos de Comodo.
Los correos electrónicos: el engaño está golpeando tu bandeja de entrada
Los correos electrónicos de phishing imitaron varios mensajes de los principales bancos turcos: Türkiye İş Bankası, Garanti Bankasi, T.Halk Bankasi, Yapi ve Kredi Bankasi, TC Ziraat Bankasi.
501 correos electrónicos fueron disfrazados como mensajes del banco Turkiye ls Bankasi, el primer y más grande banco de Turquía. El mensaje que puede ver en la siguiente pantalla en turco significa "5406 ** ** 9306 con fecha del 10 de septiembre de 2018, se adjunta a los detalles del extracto de su tarjeta de crédito".
Otros 424 correos electrónicos imitaron los mensajes de Garanti Bankasi ...
... y 865 fingió ser un correo electrónico de T. Halk Bankasi AS
… 619 correos electrónicos imitaron a Yapi ve Kredi Bankasi
... y otros 279 cansaron la máscara de TC Ziraat Bankasi.
Todos los correos electrónicos contienen un mensaje de "deuda" o "extracto de tarjeta de crédito" para atraer a los usuarios a abrir los archivos adjuntos. Por supuesto, los archivos contenían malware. ¿Pero de qué tipo?
El malware: abriendo la puerta al enemigo
En realidad, todos los correos electrónicos contenían dos tipos de archivos de malware: .EXE y .JAR. A continuación se muestra el análisis del archivo .JAR realizado por los analistas de Comodo Threat Research Labs.
Veamos cómo este malicioso malware puede dañar a los usuarios si lo ejecutan.
En primer lugar, intenta detectar y salir de las aplicaciones de seguridad que se ejecutan en la máquina de destino. Llama a taskkill varias veces, con una larga lista de ejecutables de varios proveedores. Luego suelta un archivo .reg y lo importa al registro.
Por lo tanto, cambia la configuración del administrador de archivos adjuntos para permitir ejecutar archivos ejecutables recibidos de Internet sin advertencias, deshabilita el administrador de tareas y altera las claves de registro IEFO de las aplicaciones de seguridad.
Además, crea un ID de instalación y lo coloca en un archivo de texto en una ruta generada aleatoriamente. Los atacantes usarán esta identificación para identificar la máquina infectada.
Después de eso, cae y ejecuta dos archivos VBS para detectar el antivirus y cortafuegos instalado en el sistema.
Luego agrega una clave de inicio para ejecutar en cada reinicio. El valor de ejecución automática se agrega solo para un usuario actual, de modo que no aparezca ninguna solicitud de UAC alarmante. Y luego se inicia desde la nueva ubicación
Ejecutado desde la nueva ubicación o al reiniciar el sistema, suelta otro archivo .JAR “_0. .class ”a la carpeta Temporal y ejecútelo.
Significativamente, el .JAR se inicia a través de la aplicación WMIADAP. Como es un componente de Windows, algunos programas de seguridad pueden permitir su ejecución sin ninguna restricción. Un truco más para evitar la protección.
Ahora es el momento de la verdad: podemos ver la verdadera cara del malware que ataca al cliente de los bancos. Es una puerta trasera escrita en Java conocida como TrojWare.Java.JRat.E. Su propósito es proporcionar servicios no autorizados. acceso remoto a las máquinas infectadas.
Como puede ver en la pantalla, el paquete JAR contiene un archivo cifrado: "mega.download". Descifrado, revela las propiedades del malware:
Lo que queda por hacer es descubrir qué se esconde detrás del recurso "ywe.u".
Más adelante, podemos extraer y descifrar el archivo .CONFIG de malware para descubrir sus opciones de configuración.
¡Y aquí tienes! Ahora vemos que el malware se conecta al servidor de los atacantes 185.148.241.60 para informar sobre la infección exitosa de la nueva víctima y luego espera las instrucciones de los perpetradores.
Debe preguntarse cómo exactamente el malware daña al usuario. Como cualquier puerta trasera, el malware permite el acceso encubierto a la máquina comprometida y, por lo tanto, la entrega bajo el control total de los ciberdelincuentes. Pueden robar información, agregar otro malware o usar la máquina infectada para propagar malware y atacar a otros usuarios en todo el mundo.
"Definitivamente son ataques más complicados de lo que parece ser a primera vista", dice Fatih Orhan, director de los laboratorios de investigación de amenazas de Comodo. "No es un phishing habitual robar credenciales bancarias, sino un esfuerzo por implantar un malware que les da a los atacantes el control total de las máquinas infectadas durante mucho tiempo, mientras que las víctimas pueden desconocer el hecho de que sus computadoras están en manos de los perpetradores".
Mientras tanto, los perpetradores pueden utilizar de manera encubierta las máquinas comprometidas de diferentes maneras para sus múltiples propósitos criminales y ganancias. Por ejemplo, inicialmente pueden robar credenciales para las cuentas de una víctima y luego pueden usar una máquina infectada como parte de una red de bots para propagar malware o conducir Los ataques DDoS en otros usuarios. Además de eso, pueden espiar constantemente la actividad de las víctimas.
Además, el alcance de los ataques es impresionante. Parece que los atacantes intentaron crear una red de miles de computadoras controladas para realizar múltiples ataques en todo el mundo. Odio pensar cuántos usuarios habrían sido víctimas si Comodo no hubiera detenido esos ataques ”.
¡Vive seguro con Comodo!
Los mapas de calor y las IP utilizadas en los ataques
Türkiye İş Bankası
El ataque se llevó a cabo desde Turquía, Chipre y los Estados Unidos. Comenzó el 10 de septiembre de 2018 a las 05:01:49 UTC y terminó el 10 de septiembre de 2018 a las 07:10:10 UTC.
Las IP usadas en el ataque
CY | 93.89.232.206 | 161 |
TR | 79.123.150.10 | 2 |
TR | 85.159.70.243 | 1 |
US | 64.50.180.173 67.210.102.208 |
1 336 |
Banco Garanti
El ataque se llevó a cabo desde Chipre y los PI del Reino Unido. Comenzó el 24 de septiembre de 2018 a las 09:38:29 UTC y terminó el 26 de septiembre de 2018 a las 11:01:10 UTC.
Las IP usadas en el ataque
CY | 93.89.232.206 | 184 |
GB | 163.172.197.245 | 240 |
T. Halk Bankasi
El ataque se llevó a cabo desde Chipre, Reino Unido, Turquía, Estados Unidos e India. Comenzó el 24 de septiembre de 2018 a las 10:28:06 UTC y terminó el 27 de septiembre de 2018 a las 14:54:55 UTC.
Top 5 de las IP utilizadas en el ataque
US | 67.210.102.208 | 629 |
CY | 93.89.232.206 | 152 |
TR | 185.15.42.74 | 36 |
US | 172.41.40.254 | 24 |
TR | 95.173.186.196 | 17 |
TC Ziraat Bankasi
El ataque se llevó a cabo desde Turquía y Chipre IP. Comenzó el 05 de septiembre de 2018 a las 12:55:50 UTC y terminó el 24 de septiembre de 2018 a las 09:32:18 UTC.
Las IP usadas en el ataque
CY | 93.89.232.206 | 105 |
TR | 31.169.73.61 | 279 |
Banco Yapi ve Kredi
El ataque se llevó a cabo desde Turquía, Sudáfrica y Alemania IP. Comenzó el 25 de septiembre de 2018 a las 09:54:48 UTC y terminó el 26 de septiembre de 2018 a las 15:10:49 UTC.
Las 5 principales IP utilizadas en el ataque
TR | 31.169.73.61 | 374 |
TR | 193.192.122.98 | 129 |
TR | 194.27.74.55 | 26 |
TR | 193.140.143.15 | 20 |
TR | 193.255.51.105 | 10 |
PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/comodo-news/phishing-attacks-in-turkish-banks/