Análisis de malware

Cómo el troyano Javali convierte en arma el antivirus Avira

16 de junio de por Pedro Tavares

Los troyanos latinoamericanos están aumentando y Javali es otra pieza de malware que utiliza un binario legítimo de Avira AV para cargar en la memoria la carga maliciosa.

¿Qué es el troyano Javali?

El troyano Javali fue observado por primera vez por el equipo Kaspersky en noviembre de y posteriormente descrito en detalle por Segurança-Informática. Este malware ha aumentado en volumen y sofisticación en los últimos meses. Como se ha observado en otras amenazas de América Latina, Javali está utilizando rutinas y llamadas similares que también se observan en otros troyanos, como Grandoreiro, URSA y Lampion.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Según lo descrito por Segurança-Informática:

(…) parte de estas familias de troyanos están utilizando relleno para agrandar el binario; secciones vacías o incluso imágenes BPM adjuntas como recurso (…). Otros troyanos utilizan esta técnica, ya que permite evadir la detección y ejecutar el código malicioso en las máquinas de destino evitando la detección basada en firmas de archivos estáticos.

Los investigadores dijeron que estos troyanos comparten varios módulos y código, una clara señal de colaboración entre los grupos de amenazas latinoamericanos. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]

1: Diagrama de alto nivel del modus operandi de los troyanos bancarios más populares de América Latina.

El modus operandi de Javali

La campaña maliciosa asociada con Javali comienza con un correo electrónico común enviado a un gran grupo de usuarios que no son detectados por la banda criminal. La plantilla de correo electrónico se hace pasar por una factura para atraer a las víctimas a abrir el correo electrónico y luego descargar el archivo malicioso.

2: Plantilla maliciosa del troyano banquero Javali (idioma portugués).

Después de descargar el archivo zip, se coloca un archivo MSI con una carga útil de JavaScript en su interior responsable de crear persistencia e impulsar la siguiente etapa desde los servicios en la nube, incluidos Google, S3 Buckets de AWS y el servicio de intercambio de archivos MediaFire. El flujo de trabajo completo del troyano Javali se presenta en la 3.

3: Diagrama de alto nivel del troyano banquero Javali.

Profundizando en el defecto de Avira

Como se observó anteriormente, después de descargar la siguiente etapa, el troyano se ejecuta aprovechando un binario de Avira para cargar en la memoria la carga útil final (el propio troyano).

El archivo Avira.exe, un archivo PE legítimo de la empresa Avira Antivirus, se utiliza luego como inyector para aprovechar una técnica denominada carga lateral de DLL y cargar en la memoria una DLL enorme “Avira.OE.NativeCore.dll”. (6) como hijo de una identificación de proceso parental (PPID) legítima, dijo Segurança-Informática.

4: troyano Javali y todos los archivos utilizados durante la cadena de infección.

En detalle, el binario Avira.exe , un archivo PE legítimo de Avira, se utiliza para cargar en la memoria la DLL falsificada, Avira.OE.NativeCore.dll , abusando de las vulnerabilidades que ocurren específicamente cuando Windows Side-by-Side (WinSxS) Los manifiestos no son lo suficientemente explícitos sobre las características de la DLL que se va a cargar.

Si observa el nativo de Windows llamado LoadLibrary() y LoadLibraryEx() , si se pasa la ruta de la DLL de destino, entonces la biblioteca solo se carga desde la ruta específica; de lo contrario, se utiliza el siguiente orden de búsqueda de DLL predeterminado de Windows:

Como se detalla en la 5 a continuación, la DLL de destino se carga desde el directorio del archivo de imagen del proceso actual ( opción uno arriba ) y luego se procesa mediante las funciones CreateFile() y ReadFile() .

5: Inyector Avira.exe vulnerable al ataque de carga lateral de DLL del que abusa el troyano Javali.

Las capacidades de Javali

El troyano Javali es un malware sofisticado y sus acciones se cargan desde archivos de Google Docs, incluida su configuración, comandos a ejecutar y la dirección del servidor C2. Como se observa, los comandos son cifrados y luego son descifrados en tiempo de ejecución utilizando un algoritmo propio compartido también en otras piezas latinoamericanas.

6: Configuración de Javali obtenida de Google Docs.

Después de obtener su configuración, comienza recopilando la máquina de destino para encontrar potencialmente credenciales asociadas con varios servicios en la nube, clientes de correo electrónico, etc.

7: Parte de las credenciales de la víctima obtenidas del servidor C2.

Al mismo tiempo, el troyano Javali monitorea el navegador web de la víctima y busca portales bancarios o financieros específicos. Cuando ocurre una nueva coincidencia, se ejecuta un nuevo hilo y se presenta una superposición de ventanas falsa.

8: Capacidad de superposición de ventanas del troyano Javali.

Como se observa en otros troyanos bancarios, Javali admite varios comandos de puerta trasera. Las capacidades de estos comandos son:

Prevención de problemas de malware Javali

Los troyanos latinoamericanos son una familia popular de troyanos bancarios que han aparecido en los titulares en la última década. Hoy en día existe una gran cantidad de tecnologías para proteger al usuario final, incluidos tokens, tokens electrónicos, mecanismos 2FA/MFA, tarjetas PIN y más. No obstante, el fraude en línea sigue siendo un verdadero desafío todos los días, y los delincuentes utilizan nuevos TTP para evadir los sistemas antivirus y EDR.

No existe ninguna medida de mitigación eficaz para combatir este problema. Sin embargo, existen algunos pasos para hacer que su sistema sea lo más resistente posible contra el malware:

Fuentes:

La tétrada , Kaspersky

Troyano Javali , Segurança-Informática