El CCN-CERT publica dos informes de código dañino sobre Win32/Shifu y Trojan.Retefe

  • Los Informes ID-02/18 Win32/Shifu y ID-04/18 Trojan.Retefe están disponibles en la parte privada de su portal.
  • El malware Win32/Shifu ha sido diseñado para tomar el control de sistemas infectados, mientras que el troyano bancario identificado como “Trojan.Retefe”, para infectar sistemas y obtener las credenciales bancarias del afectado.
  • En ambos casos los procedimientos de infección se producen al ejecutar el fichero que contiene el código dañino pero llevando a cabo acciones diferentes en el sistema de la víctima.

El CCN-CERT ha publicado en la parte privada de su portal dos nuevos Informes de Código Dañino:  ID-02/18 Win32/Shifu, diseñado para instalarse en el sistema, robar información y comunicarse con un dominio de Internet; y el informe ID-04/18 Trojan. Retefe, un troyano bancario, diseñado para infectar sistemas y obtener las credenciales bancarias de la víctima utilizando multitud de etapas hasta su ejecución final. 

En el caso del Win32/Shifu, la infección en el equipo se produce al ejecutar el fichero que contiene el código dañino realizando las siguientes acciones en el equipo de la víctima: Se copia a sí mismo en el sistema. Modifica el registro de Windows para iniciarse de forma automática en el arranque del sistema. El código dañino inyecta parte de su código en el proceso que crea el entorno gráfico de usuario del sistema que, por defecto, es el Explorador de Windows (explorer.exe). Crea un archivo de Procesamiento por Lotes y lo ejecuta. Dicho archivo sobrescribe el código dañino y, posteriormente, se borra a sí mismo. Por último, el código inyectado crea conexión a un servidor remoto y envía información del sistema comprometido.

Por su parte, el procedimiento de infección del Trojan. Retefe se produce al ejecutar el fichero que contiene el código dañino. Dependiendo de la muestra es posible que este archivo sea un ejecutable de Windows, un JavaScript o un documento ofimático recibido como adjunto en un correo electrónico. También es posible que el equipo se infecte a través del exploit EternalBlue si se encontrase conectado a una red local con otros equipos infectados.

Los informes incluyen información sobre las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Desinfección
  • Información del atacante

Además, se incluye una sección sobre las reglas de detección SNORT, YARA e indicador de compromiso – IOC

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT o a través de los siguientes enlaces:

Acceso a Informe:

ID-02/18 Win32/Shifu

ID-04/18 Trojan. Retefe

 

Ministerio de Defensa
CNI
CCN
CCN-CERT