Tatanga, el troyano que ataca a la banca europea

Un nuevo troyano bancario de nombre Tatanga ha sido descubierto por la unidad de e-crime de la firma de seguridad española S21Sec. El malware cuenta con funciones de Man in the Browser (MitB) y, como SpyEye, puede realizar transacciones automáticas, suplantar el balance de las cuentas y las operaciones bancarias de los usuarios.

De acuerdo con los investigadores de S21Sec, el troyano Tatanga está escrito en C++ al igual que SpyEye y utiliza técnicas de rootkit para ocultar su presencia, aunque, en ocasiones, sus archivos son visibles. “El troyano descarga un número de módulos encriptados (DLLs), que se desencriptan en la memoria cuando se inyectan en el navegador u otros procesos para evitar la detección del software antivirus”, escriben en el blog corporativo.

Los módulos son los siguientes:
  • ModEmailGrabber: se encarga de recolectar direcciones de correo electrónico.
  • Coredb: su función es gestionar el archivo de configuración. Éste está cifrado con el algoritmo 3DES.
  • Comm Support Library: este módulo implementa el cifrado de la comunicación entre el troyano y el panel de control.
  • File Patcher: la función de este módulo no está clara todavía. Se sospecha que se encarga de la propagación del código malicioso infectando archivos ejecutables, multimedia y comprimidos.
  • ModMalwareRemover: se utiliza para la eliminación de otras familias de malware, incluyendo las últimas versiones de ZeuS.
  • ModBlockAVTraffic: se encarga de bloquear el software antivirus instalado en el sistema.
  • ModDynamicInjection: como el nombre indica, su labor es realizar las inyecciones de código.

Los nombres de módulos ModEmailGrabber y ModMalwareRemover parece que fueron usados en un malware en 2008, por lo que Tatanga podría ser la evolución de un código malicioso ya existente.
Al parecer, este malware bancario ha atacado a usuarios de banca online de Alemania, Portugal, España y Reino Unido. “Como otros troyanos de su clase, utiliza un archivo de configuración encriptado. Este archivo está en formato XML y tiene un elemento para cada país afectado”. Además contiene un elemento type para cada país afectado. El código inyectado está codificado y tiene la siguiente sintaxis:
^^url_monitorizada1~~url_monitorizada2||código_a_reemplazar_en_página_legítima||código_inyectado
“Dependiendo del banco objetivo –continúan-, el troyano puede hacerse con las credenciales de forma pasiva o solicitarlas con el fin de acometer transacciones fraudulentas durante la sesión de usuario”.

Tatanga puede inyectar HTML en todos los navegadores más populares: Explorer, Firefox, Chrome, Opera, Safari, Minefield, Maxthoon, Netscape, y Konqueror.
Dentro del código del troyano se encuentran “hardcodeados” siete dominios comprometidos que actúan como proxys del verdadero panel de control. Sus funciones van desde la notificación de nuevas infecciones hasta la obtención de números de cuenta de muleros. El formato de las URLs es el siguiente:
  • http://hacked_site.com/com/m.php?f=module.dll
  • http://hacked_site.com/com/c.php
  • http://hacked_site.com/com/d.php
  • http://control_panel/srvpnl/upload/module.dll

Algunas funcionalidades adicionales son las siguientes:
  • Soporte 64 bits: se inyecta en el proceso explorer.exe en sistemas de 32 bits y se ejecuta como un proceso normal en sistemas de 64 bits.
  • Técnicas anti-debugging y anti-VM.
  • Volcado del código HTML de las aplicaciones de banca electrónica y envío al servidor de control, seguramente para incorporar nuevas inyecciones o mejorar las existentes.
  • Débil algoritmo de cifrado en las comunicaciones con el panel de control, basado en operaciones XOR.
  • Acepta comandos desde el panel de control como, por ejemplo: modinfo, softstat, cmd, stopos, startos, reboot, winkill, die, instsoft, proclist, clearcookies, setlevel, kill.
  • Incluye funciones para evitar la descarga de Trusteer Rapport, software de detección de malware que bloquea las posibles inyecciones de troyanos en el navegador.
Por el momento, el ratio de detección del troyano Tatanga “es muy bajo”, apuntan los expertos de S21Sec “y pocos motores antivirus pueden detectarlo” y puede comprobarse en el informe de VirusTotal. http://www.virustotal.com/file-scan/report.html?id=3c9ecf9f0b3c1b93b20ad5778b42c218bffa749de29a155c432e3521e2875c50-1297975866

Información extraída de:

http://www.csospain.es/El-troyano-Tatanga-ataca-a-la-banca-europea/seccion-alertas/noticia-106852
http://blog.s21sec.com/2011/03/tatanga-un-nuevo-troyano-bancario-con.html

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

HTTP Fingerprinting