Según FortiGuard Labs, la muestra de malware, llamada itranslator_02.exe, está firmada por un certificado digital que expiró en 2015.
Esta instancia comienza creando una carpeta llamada «itranslator» en la carpeta de datos del programa y extrayendo un archivo llamado wintrans.exe en esa carpeta. El archivo se inicializa al instalar iTranslatorSvc, un controlador que permite que el malware se cargue al iniciar el sistema. A continuación, wintrans.exe instala otro controlador llamado «iNetfilterSvc» antes de descargar «iTranslator.dll».
Esta biblioteca de enlace dinámico (DLL) actúa como el principal módulo de malware. Instala un certificado de capa de sockets seguros (SSL) en los navegadores web como certificados raíz de confianza sin el permiso de la víctima, se comunica con los dos controladores iNetfilterSvc e iTranslatorSvc y supervisa los paquetes de acceso a Internet desde los navegadores web de la víctima. Estas funciones son compatibles con el rendimiento de iTranslator de un ataque MitM en un sistema comprometido, lo que permite a los atacantes robar información confidencial.
¿Cuáles son los elementos de un ataque MitM?
Como señala Incapsula, un ataque MitM exitoso consiste en dos elementos: la intercepción del tráfico del usuario antes de que llegue a su destino y el descifrado del tráfico SSL sin alertar al usuario. Los malos actores tienen varios métodos, como la suplantación de IP y el secuestro de SSL, que les permiten cumplir ambas etapas.
Los delincuentes en línea también están incorporando estas tácticas en diferentes tipos de amenazas. Los investigadores de Kaspersky Lab notaron que descubrieron las capacidades MitM en extensiones maliciosas de Google Chrome. Según Cisco Talos, mientras tanto, el VPNFilter de malware de red de Internet de las cosas (IoT) avanzado también tenía un módulo para llevar a cabo ataques MitM.
Cómo protegerse contra malware como iTranslator
Para las computadoras infectadas con iTranslator, FortiGuard Labs aconsejó a los profesionales de seguridad que eliminen los archivos y carpetas creados por el malware. En general, las organizaciones pueden defenderse contra los ataques MitM mediante la implementación de una estrategia de defensa en capas que combina la seguridad tradicional basada en archivos con el aprendizaje automático, el sandboxing de detección de amenazas y la protección de puntos finales de la próxima generación.
Fuente: Securityintelligence.com
