SolarSys
SolarSys è una nuova minaccia Trojan che viene distribuita contro gli utenti che si trovano in Brasile. La regione del Sud America e in particolare il Brasile ha registrato molte più campagne di attacco che coinvolgono payload di trojan bancari rispetto al resto del mondo, e SolarSys ha effettivamente capacità di trojan bancari. Nel complesso, SolarSys è composto da diversi componenti dannosi, ciascuno incaricato di eseguire un'azione diversa sul sistema compromesso.
Il Trojan viene fornito tramite falsi programmi di installazione MSI che fingono di essere Java o Microsoft HTML Help. Una volta avviato. Tuttavia, chiamano InstallUtil, che viene utilizzato per eseguire il file di libreria dinamica .Net chiamato " uninstall.dll " che trasporta il payload backdoor della prima fase. " Uninstall.dll " esegue la backdoor JavaScript in memoria, imposta il meccanismo di persistenza registrandosi su AutoRun ed esegue Install.js, un dropper responsabile della consegna dei payload di seconda fase.
Il primo modulo è progettato per propagare ulteriormente il Trojan bancario ottenendo elenchi di contatti dal computer dell'utente compromesso e inviando e-mail di phishing con allegati contenenti malware. I titoli delle e-mail sono impostati per sembrare importanti o urgenti per attirare l'attenzione dei destinatari. Alcuni utenti potrebbero non sospettare che stia succedendo qualcosa di sbagliato perché il mittente delle e-mail è qualcuno che conoscono. Al momento dell'esecuzione, gli allegati inizieranno a rilasciare payload danneggiati tramite iniezioni di modelli.
Il secondo modulo danneggiato, una parte di SolarSys, tenterà di raccogliere le credenziali dal browser Google Chrome. Tra le informazioni ottenute dal malware ci sono i dati di navigazione dell'utente, le credenziali di accesso al sito web, ecc.
L'ultimo modulo è quello responsabile dell'acquisizione delle informazioni bancarie dell'utente. Viene fornito come file denominato "BOM.bin". Il trojan bancario inizia la scansione dei siti Web visitati dall'utente compromesso per una corrispondenza con l'elenco delle banche mirate. Quindi genera una sovrapposizione che mostra una falsa pagina di accesso, in cui la vittima è incoraggiata a inserire varie credenziali di accesso che vengono poi esfiltrate agli aggressori. Tra le banche impersonate da SolarSys ci sono Banco Mercantil, Banco do Nordeste, CrediSIS, Banrisul, Safra, Banco do Brasil, Bradesco, Sicoob, Banco Itaú, Santander, Banco Inter, Banestes, Banpará e altri istituti bancari brasiliani.
