Español | English
rss facebook linkedin Twitter

Nuevo troyano bancario 'Slave' afectando a bancos de Polonia

Hemos detectado un nuevo troyano desconocido que utiliza inyecciones en formato JSON. Después de ver tantos troyanos usando inyecciones tipo ZeuS, es interesante encontrarse algo así. Actualmente afecta a entidades polacas. El análisis preliminar de las inyecciones nos ha permitido ver que en ciertas entidades se incluye el código necesario para realizar transferencias automáticas (ATS).


La muestra tiene un chequeo que evita que pueda ser ejecutada a partir del 1 de abril de 2015. Esto no quiere decir que a partir de ese día desaparaezca la amenaza, es muy probable que el botmaster envíe una actualización del binario antes de esa fecha. El objetivo de la medida es, probablemente, el limitar la ventana de tiempo en la que las muestras pueden ser analizadas de forma automática en sandboxes. 


Existen indicios de que el autor usó el código fuente de chromium para crear el troyano al cual hemos decidido bautizar como Slave.


Uno de los nombres con los que se ha distribuido el troyano es Faktura V_388_02_20_2015.doc.scr lo cual parece indicar que al menos una de las vías de distribución del malware con las campañas de spam.

Algunos hashes:
1a621d205e984f92a42e00dd250e4ca0
3bd78217be4e455c107f81543de51bf0
50fc29042f8c54d99a6ec3dfd82b40e0
400fbcaaac9b50becbe91ea891c25d71
ced7970f13c40448895967d4c47843e0
fab771fb164e54c6982b7eb7ba685500

En un futuro, y una vez hayamos analizado las inyecciones en detalle, actualizaremos el blog para mostrar cómo funciona el módulo ATS de las mismas.

Para más información, puede ponerse en contacto con nosotros: blog [at] s21sec.com

S21sec Ecrime

1 comentario:

Javi Serna dijo...

Muy interesante.. no sabia nada. Trabajo en Polonia en seguridad, pero no con los bancos polacos.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login