Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/12/2013
Aumenta la tasa de infección del troyano bancario Bebloh
Según analistas de G Data, Bebloh ya está entre los tres mayores troyanos bancarios. La nueva función AV evasion introducida demuestra que sus autores continúan encontrando nuevas maneras de infectar a sus víctimas con más silencio y eficacia.
El troyano bancario Bebloh es un viejo conocido, cuyos nuevos desarrollos no habían provocado innovaciones importantes, hasta ahora. Según investigadores de G Data, las tasas de infección observadas con Bebloh en el primer semestre de 2013 fueron relativamente pequeñas, con una participación de tan sólo el 6,3% entre todos los troyanos bancarios observados, muy por detrás de competidores como ZeuS. Sin embargo, una actualización reciente está aumentando sus índices de infección.
“En los últimos meses empezamos a ver nuevas cifras alarmantes. Bebloh comenzó a subir, logrando situarse entre los tres primeros troyanos bancarios de noviembre”, aseguran desde G Data. “Recientemente, el malware se distribuye como un archivo adjunto en un correo electrónico que contiene información de un vuelo falso. Tomado todo esto en cuenta, es motivo más que suficiente para investigar lo que estaba pasando”.
Una comparación inicial entre una variante más reciente y la versión original del malware muestra que Bebloh ha sufrido claramente una actualización. Investigadores de G Data aseguran que alrededor del 75% de las funciones en las dos versiones son las mismas, y que el 20,9% de las funciones se encuentran exclusivamente en la nueva versión, por tanto, el alcance funcional se ha mejorado significativamente.
Según los investigadores, el cambio más importante afecta a la forma en que el malware sobrevive a un reinicio, para lo que la nueva variante incluye una nueva función AV evasion. Tan pronto como el sistema está infectado por Bebloh, el malware se inyecta en explorer.exe y se elimina el archivo ejecutable original que contiene Bebloh. Lo interesante es el hecho de que el malware no se mueve entonces a otra carpeta y no se genera la entrada de inicio automático, pues ya no se encuentra en el disco duro, evitando ser detectado por un antivirus convencional basado en firmas mediante el escaneo del disco duro.
A medida que el software malicioso se ejecuta oculto en la memoria explorer.exe, no se detecta ni siquiera un proceso malicioso. Sin embargo, para sobrevivir a un reinicio del sistema, Bebloh utiliza un truco interesante. Una ventana invisible se genera a partir del proceso explorer.exe para recibir los "Windows Messages", un tipo de mensaje generado por Windows. Esto significa que las ventanas relativas a una parada inminente del ordenador también son emitidas por Windows. Tan pronto como Bebloh recibe un mensaje de este tipo, el malware escribe su archivo ejecutable de la memoria de explorer.exe al disco duro, y se genera un señalador de inicio automático al ejecutable. De ahí que, durante todo el tiempo que el sistema está funcionando, no hay prácticamente ninguna pista visible en el registro o en el disco duro que sugiera una infección. Además, el nombre de archivo utilizado por Bebloh se genera aleatoriamente cada vez, por lo Bebloh tiene un nombre diferente cada vez que se inicia el sistema.