Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/12/2013
Augmenta la taxa d'infecció del troià bancari Bebloh
Segons analistes de G Data, Bebloh ja està entre els tres majors troians bancaris. La nova funció AV evasió introduïda demostra que els seus autors continuen trobant noves maneres d’infectar les seues víctimes amb més silenci i eficàcia.
El troià bancari Bebloh és un vell conegut, els nous desenrotllaments del qual no havien provocat innovacions importants, fins ara. Segons investigadors de G Data, les taxes d’infecció observades amb Bebloh en el primer semestre de 2013 van ser relativament baixes, amb una participació de tan sols el 6,3% entre tots els troians bancaris observats, molt per darrere de competidors com ZeuS. No obstant això, una actualització recent està augmentant els seus índexs d’infecció.
“En els últims mesos comencem a veure noves xifres alarmants. Bebloh va començar a pujar i aconseguir situar-se entre els tres primers troians bancaris de novembre”, asseguren des de G Data. “Recentment, el programari maliciós es distribuïx com un arxiu adjunt en un correu electrònic que conté informació d’un vol fals. Pres tot açò en compte, és un motiu més que suficient per a investigar el que estava passant”.
Una comparació inicial entre una variant més recent i la versió original del programari maliciós mostra que Bebloh ha patit clarament una actualització. Investigadors de G Data asseguren que al voltant del 75% de les funcions en les dos versions són les mateixes, i que el 20,9% de les funcions es troben exclusivament en la nova versió, per tant, l’abast funcional s’ha millorat significativament.
Segons els investigadors, el canvi més important afecta la forma en què el programari maliciós sobreviu a un reinici, per a això la nova variant inclou una nova funció AV evasió. Tan prompte com com el sistema està infectat per Bebloh, el programari maliciós s’injecta en explorer.exe. i s’elimina l’arxiu executable original que conté Bebloh. L’interessant és el fet que el programari maliciós no es mou llavors a una altra carpeta i no es genera l’entrada d’inici automàtic, perquè ja no es troba en el disc dur i evita ser detectat per un antivirus convencional basat en signatures per mitjà de l’escaneig del disc dur.
A mesura que el programari maliciós s’executa ocult en la memòria explorer.exe., no es detecta ni tan sols un procés maliciós. Tanmateix, per a sobreviure a un reinici del sistema, Bebloh utilitza un truc interessant. Una finestra invisible es genera a partir del procés explorer.exe. per a rebre els Windows Messages, un tipus de missatge generat per Windows. Açò significa que les finestres relatives a una parada imminent de l’ordinador també són emeses per Windows. Tan prompte com com Bebloh rep un missatge d’este tipus, el programari maliciós escriu el seu arxiu executable de la memòria d’explorer.exe. al disc dur, i es genera un dispositiu assenyalador d’inici automàtic a l’executable. Per això, durant tot el temps que el sistema està funcionant, no hi ha pràcticament cap pista visible en el registre o en el disc dur que suggerisca una infecció. A més, el nom d’arxiu utilitzat per Bebloh es genera aleatòriament cada vegada, per la qual cosa Bebloh té un nom diferent cada vegada que s’inicia el sistema.