È stato scoperto un nuovo trojan bancario non rilevabile (FUD) che prende di mira clienti di diverse banche europee e sudamericane. Soprannominato “maxtrilha” a causa della sua chiave di crittografia, il malware viene diffuso dai criminali informatici brasiliani utilizzando modelli di phishing personalizzati in base al paese di destinazione.
Risultati chiave
- Maxtrilha è stato diffuso tramite modelli di phishing creati per paese.
- Il primo stadio di maxtrilha – il caricatore – apre un servizio legittimo precedentemente presentato sul modello di phishing per attirare le vittime durante la sua esecuzione.
- La prima fase crea la persistenza sulla macchina infetta, disabilita le impostazioni di sicurezza di Internet Explorer e le estensioni accettate per facilitare il download della seconda fase.
- Maxtrilha trojan – 2a fase – controlla o crea persistenza sulla macchina, installa o modifica certificati attendibili di Windows, controlla aprendo finestre per eseguire l’overlay di finestre bancarie per rubare credenziali e può distribuire payload aggiuntivi eseguiti tramite la tecnica di iniezione DLL.
- I dati delle vittime vengono crittografati e inviati al server C2 geolocalizzato in Russia.
I campioni di malware diffusi in Portogallo e analizzati dagli esperti aprono una pagina web legittima di Autoridade Tributária e Aduaneira – Finanças per attirare gli utenti vittime durante l’esecuzione della prima fase. Il malware successivamente crea persistenza e disabilita le impostazioni di sicurezza di Internet Explorer per facilitare il download della seconda fase da Internet. Dopodichè il trojan controlla o crea persistenza quando eseguito sulla macchina di destinazione, utilizza un meccanismo di acquisizione di dettagli da finestre in primo piano aperte che corrispondono al suo nome con stringhe codificate specifiche relative alle società bancarie, avvia l’overlay di finestre bancarie, può distribuire nuovi payload e comunica con il server C2 in tempo reale.
Maxtrilha è stato sviluppato in linguaggio Delphi, è un binario x64 e può bypassare i sistemi AV e EDR e le sue recenti campagne, al momento, sono state diffuse in America Latina, Europa e al Portogallo.
https://securityaffairs.co/wordpress/122134/malware/maxtrilha-banking-trojan.html