titulo

titulo

O Trojan Bancário BlackMoon foi desenvolvido para roubar as credenciais de usuários de várias instituições bancárias da Coreia do Sul.

Tradicionalmente, o BlackMoon costumava modificar o arquivo Local Hosts de um sistema infectado de forma a redirecionar os usuários para páginas de phishing controladas pelos atacantes, quando certos sites eram acessados. Entretanto, a última versão do malware utiliza um arquivo de proxy auto-config (PAC). Um arquivo PAC é uma função que é usada para definir automaticamente o servidor proxy apropriado de navegadores para URLs específicos. Ele contem funções JavaScript que o BlackMoon usa para interceptar credenciais de usuários.

O malware computa os hashes do site usando o seu próprio algoritmo que também é parte do código JavaScript PAC. Essa aproximação torna mais difícil para os pesquisadores de segurança identificarem os sites alvos. As versões anteriores do malware foram analisadas para identificar os sites alvos, e usando o próprio algoritmo JavaScript PAC, os pesquisadores geraram o hash dos sites alvos e compararam a lista. Dos 107 hashes, os pesquisadores confirmaram 61 sites coreanos como alvos.

Quando um usuário abre um site que corresponde a um dos hashes da lista, ele é redirecionado a uma página que exibe uma falsa mensagem de erro. A mensagem de erro então redireciona o usuário a uma página de phishing que pede por informações adicionais. O malware é capaz de usar as rotinas de phishing em qualquer versão do Windows. Para se conectar ao servidor de Comando e Controle (C&C) o malware primeiro baixa a sua configuração de um site de rede social que, por sua vez, responde com um endereço IP ao servidor de C&C.

Os pesquisadores descobriram que o endereço IP de C&C do BlackMoon usa um diretório aberto que faz uso de idioma chinês. Os pesquisadores permitem entender melhor o impacto dessa campanha que está em andamento há dois anos, mas que de alguma maneira conseguiu permanecer despercebida. Embora o BlackMoon tenha aparecido na Coreia do Sul, uma significante contagem de infecção foi detectada em diversas partes do mundo.

fonte:

http://blog.fortinet.com/post/over-100-000-south-korean-users-affected-by-blackmoon-campaign

http://blog.fortinet.com/uploads/images/8_png_blackmoon(1).png