Los usuarios de dispositivos móviles en Brasil son el objetivo de una nueva campaña de malware que distribuye un nuevo troyano bancario para Android llamado Rocinante.
“Esta familia de malware es capaz de realizar registros de teclas mediante el Servicio de Accesibilidad y también puede robar información de identificación personal de sus víctimas mediante pantallas de phishing que se hacen pasar por diferentes bancos”, dijo la empresa de seguridad holandesa ThreatFabric dicho.
“Por último, puede utilizar toda esta información exfiltrada para realizar la toma de control del dispositivo (DTO), aprovechando los privilegios del servicio de accesibilidad para lograr acceso remoto completo al dispositivo infectado”.
Algunos de los objetivos más destacados del malware incluyen instituciones financieras como Itaú Shop, Santander, con aplicaciones falsas que se hacen pasar por Bradesco Prime y Correios Celular, entre otras.
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Seguridad (com.viberotion1414.app)
El análisis del código fuente del malware ha revelado que los operadores llaman internamente a Rocinante Pegasus (o PegasusSpy). Cabe señalar que el nombre Pegasus no tiene relación con un software espía multiplataforma desarrollado por el proveedor de vigilancia comercial NSO Group.
Dicho esto, se considera que Pegasus es obra de un actor de amenazas denominado DukeEugene, que también es conocido por cepas de malware similares como ERMAC, BlackRock, Hook y Loot, según un análisis reciente de Silent Push.
ThreatFabric dijo que identificó partes del malware Rocinante que están directamente influenciadas por las primeras iteraciones de ERMAC, aunque se cree que la filtración del código fuente de ERMAC en 2023 puede haber jugado un papel.
“Este es el primer caso en el que una familia de malware original tomó el código de la filtración e implementó solo una parte de él en su código”, señaló. “También es posible que estas dos versiones sean bifurcaciones separadas del mismo proyecto inicial”.
Rocinante se distribuye principalmente a través de sitios de phishing que tienen como objetivo engañar a usuarios desprevenidos para que instalen aplicaciones falsificadas que, una vez instaladas, solicitan privilegios de servicio de accesibilidad para registrar todas las actividades en el dispositivo infectado, interceptar mensajes SMS y mostrar páginas de inicio de sesión de phishing.
También establece contacto con un servidor de comando y control (C2) para esperar más instrucciones (que simulan toques y deslizamientos) que se ejecutarán de forma remota. La información personal recopilada se filtra a un bot de Telegram.
“El robot extrae la información de identificación personal útil obtenida mediante páginas de inicio de sesión falsas que se hacen pasar por los bancos de destino. Luego publica esta información, formateada, en un chat al que los delincuentes tienen acceso”, señaló ThreatFabric.
“La información cambia ligeramente según qué página de inicio de sesión falsa se haya utilizado para obtenerla e incluye información del dispositivo, como modelo y número de teléfono, número de CPF, contraseña o número de cuenta”.
El desarrollo se produce luego de que Symantec destacó otra campaña de malware troyano bancario que explota el servidor seguro.[.]Dominio net para orientarse a regiones de habla hispana y portuguesa.
“El ataque de múltiples etapas comienza con URL maliciosas que conducen a un archivo que contiene un archivo .hta ofuscado”, dijo la empresa propiedad de Broadcom. dicho.
“Este archivo lleva a una carga útil de JavaScript que realiza múltiples comprobaciones de AntiVM y AntiAV antes de descargar la carga útil final de AutoIT. Esta carga útil se carga mediante inyección de procesos con el objetivo de robar información bancaria y credenciales del sistema de la víctima y exfiltrarlas a un servidor C2”.
También sigue la aparición de un nuevo “extensionware como servicio” que se anuncia para su venta a través de una nueva versión de Genesis Market, que fue cerrado por las fuerzas del orden a principios de 2023 y diseñado para robar información confidencial de los usuarios de la región de América Latina (LATAM) utilizando extensiones de navegador web maliciosas propagadas en Chrome Web Store.
La actividad, activa desde mediados de 2023 y dirigida a México y otras naciones de Latinoamérica, ha sido atribuida a un grupo de delitos electrónicos llamado Cybercartel, que ofrece este tipo de servicios a otros grupos de cibercriminales. Las extensiones ya no están disponibles para su descarga.
“La extensión maliciosa de Google Chrome se disfraza como una aplicación legítima, engañando a los usuarios para que la instalen desde sitios web comprometidos o campañas de phishing”, dijeron los investigadores de seguridad Ramsés Vázquez y Karla Gómez del equipo de inteligencia de amenazas Metabase Q Ocelot. dicho.
“Una vez instalada la extensión, inyecta código JavaScript en las páginas web que visita el usuario. Este código puede interceptar y manipular el contenido de las páginas, así como capturar datos confidenciales como credenciales de inicio de sesión, información de tarjetas de crédito y otros datos ingresados por el usuario, según la campaña específica y el tipo de información a la que se dirige”.
About the Author
