23.03.2013, 21:37
Hago este post para que se protejan, quizas algunos de ustedes usen cuentas bancarias asн que esto les ayudara a evitar robos y demбs.
Win32/Theola es uno de los componentes de la familia de bootkits Win32/Menroot.FX que es conocida desde el aсo 2007. Esta familia abarca plugins maliciosos instalados sobre navegadores por el malware Mebroot para realizar operaciones bancarias fraudulentas.
Se ha realizado un seguimiento y se ha notado un incremento en las detecciones de este plugin desde fines de enero del 2013. Los paнses mбs afectados son Noruega, Italia, Dinamarca y Repъblica Checa. Sin embargo, tambiйn se ven diversos paнses de la regiуn afectados, tales como Venezuela, Argentina, Chile, Perъ, Ecuador y Colombia, entre otros. A continuaciуn se adjunta una captura de Virus Radar que ilustra los paнses mбs afectados del globo:
Mebroot utiliza mйtodos tнpico de infecciуn MBR con un handler int13 utilizado para acceder a los componentes del disco duro. Los componentes maliciosos son cargados en el siguiente orden:
Plugin de Chrome
Win32/Theola.F es un plugin de Chrome basado en la interfaz NPAPI (Netscape Plugin Application Programming Interface). Asimismo, posee un mуdulo nativo y se encuentra empaquetado en formato CRX (CRX package format). En la siguiente imagen puede observarse el archivo manifest con los permisos del contenedor CRX:
Tal como se observa en la imagen, el archivo describe la actividad permitida para el plugin. En otras palabras, el nivel de permisos es el suficiente para permitir operaciones fraudulentas y maliciosas. Ademбs, el proceso de carga en ****** Chrome es el siguiente:
Luego de desofuscar el primer mйtodo en JavaScript, se procede a la carga del mуdulo bajo el concepto de default-plugin para ****** Chrome:
Asimismo, el mуdulo en JavaScript modifica el mйtodo POST para todos los formularios en la pбgina web que ha sido accedida. A continuaciуn, los campos de contraseсas se hacen visibles (en beneficio para el atacante) y se utiliza funcionalidades de grabaciуn de vнdeo como la que se describen a continuaciуn:
Continuando con el anбlisis se observa el plugin malicioso en el panel de extensiones:
La rutina NP_GetEntryPoints() llama al proceso que carga el plugin y obtiene los punteros a otras funciones necesarias para trabajar en conjunto con el navegador. A continuaciуn puede observarse el cуdigo decompilado:
Theola posee una funcionalidad de grabaciуn de vнdeo basado en la librerнa de cуdigo abierto x264 para grabar en formato MPEG. La siguiente captura corresponde a la vtable (virtual table) de la funciуn principal de Theola:
Una vez que el plugin malicioso ha iniciado, la funciуn addListeners() carga el cуdigo en JavaScript para comenzar el tracking o seguimiento de la actividad web en el sistema infectado:
Considerando la funciуn beforeNavigate() en el mйtodo nativo, el cуdigo es el siguiente:
En caso de que se detecte actividad sobre un sitio web de una entidad bancaria, el cуdigo malicioso envнa informaciуn sensible como contraseсas, nъmeros de tarjeta de crйdito, entre otras. El envнo se realiza a travйs de una tuberнa (pipe) cuyo nombre es determinado por el siguiente algoritmo:
Todas las comunicaciones con el mуdulo que opera en modo Kernel y aquellos que operan en modo usuario estбn implementados mediante handlers con nombres especiales en el plugin. Cada uno de estos manejadores (handlers) son responsables por la ejecuciуn de un tipo especнfico de eventos.
En casos similares al expuesto, los cуdigos maliciosos utilizan lo que se conoce como hooking a nivel de usuario para interceptar la actividad de red. Sin embargo, Theola utiliza mйtodos documentados y especнficos que dificultan la detecciуn de cуdigos de esta naturaleza
Traducido por me
Autor: Aleksandr Matrosov
Fuente: Laboratorios ESET
Win32/Theola es uno de los componentes de la familia de bootkits Win32/Menroot.FX que es conocida desde el aсo 2007. Esta familia abarca plugins maliciosos instalados sobre navegadores por el malware Mebroot para realizar operaciones bancarias fraudulentas.
Se ha realizado un seguimiento y se ha notado un incremento en las detecciones de este plugin desde fines de enero del 2013. Los paнses mбs afectados son Noruega, Italia, Dinamarca y Repъblica Checa. Sin embargo, tambiйn se ven diversos paнses de la regiуn afectados, tales como Venezuela, Argentina, Chile, Perъ, Ecuador y Colombia, entre otros. A continuaciуn se adjunta una captura de Virus Radar que ilustra los paнses mбs afectados del globo:
Win32/Theola.F es un plugin de Chrome basado en la interfaz NPAPI (Netscape Plugin Application Programming Interface). Asimismo, posee un mуdulo nativo y se encuentra empaquetado en formato CRX (CRX package format). En la siguiente imagen puede observarse el archivo manifest con los permisos del contenedor CRX:
Todas las comunicaciones con el mуdulo que opera en modo Kernel y aquellos que operan en modo usuario estбn implementados mediante handlers con nombres especiales en el plugin. Cada uno de estos manejadores (handlers) son responsables por la ejecuciуn de un tipo especнfico de eventos.
En casos similares al expuesto, los cуdigos maliciosos utilizan lo que se conoce como hooking a nivel de usuario para interceptar la actividad de red. Sin embargo, Theola utiliza mйtodos documentados y especнficos que dificultan la detecciуn de cуdigos de esta naturaleza
Traducido por me
Autor: Aleksandr Matrosov
Fuente: Laboratorios ESET
