Alertan sobre 10 amenazas bancarias dirigidas a Latinoamérica

Alertan sobre 10 amenazas bancarias dirigidas a Latinoamérica
Resulta muy complicado para investigadores de malware llegar al final de la cadena.Camilo Gutierrez, jefe del Laboratorio de Investigación de ESET Latinoamérica

ESET ha venido siguiendo la actividad de varias familias de troyanos bancarios que buscan persuadir a sus víctimas para obtener su información financiera.

Investigadores de ESET presentó una investigación donde identifican nuevos troyanos bancarios que apuntan específicamente a América Latina. Al analizar los troyanos bancarios, la empresa identificó más de diez nuevas familias de malware que están destinados a países de habla hispana o portuguesa.

Los troyanos bancarios que apuntan a América Latina utilizan una forma de ingeniería social enfocada en tratar de engañar a los usuarios de la región. Están diseñados para detectar continuamente ventanas activas en la computadora de la víctima, y ​​si encuentran una relacionada con un banco, lanzan un ataque.

Estos ataques generalmente se centran en persuadir a la víctima para que tome una acción urgente o necesaria. Puede vincularse la actualización de la aplicación bancaria utilizada por la víctima, o la verificación de la información tanto de una tarjeta de crédito como de las credenciales de acceso a la cuenta bancaria.

De esta manera, una falsa ventana emergente es utilizada para robar estos datos una vez que la víctima los ingresa o se utiliza también un teclado virtual que actúa como un keylogger. La información sensible es entonces enviada al atacante, quien hará uso de esta información de la manera en que considere más conveniente.

Falsa ventana emergente de uno de los bancos utilizados por el atacante, que intenta robar un código de autorización.

Teclado virtual con un keylogger simula ser un banco de Brasil. En la descripción de la imagen se aprecia cómo se solicita a la víctima ingresar la contraseña utilizando los botones.

Dentro de la familias de malware recientemente descubiertas, Amavaldo se dirige específicamente a aplicaciones bancarias brasileñas y mexicanas y se caracteriza por el uso de un esquema de cifrado personalizado utilizado para la ofuscación de cadenas. Una vez instalado el código malicioso puede recibir comandos para realizar diferentes acciones sobre la máquina de la víctima:

  1. Capturar fotos de la víctima a través de la cámara web
  2. Registro del texto que se introduce a través del teclado
  3. Descargar y ejecutar otros programas
  4. Restringir accesos a varios sitios bancarios
  5. Simulación de teclado y ratón
  6. Auto actualización
Te puede interesar  5 tendencias de seguridad urbana para 2016

Además, Amavaldo utiliza una técnica de ataque sofisticada: una vez que detecta una ventana relacionada a un banco, realiza una captura de pantalla del escritorio y hace que se vea como el nuevo fondo de pantalla. Luego despliega una falsa ventana emergente que es elegida en base al texto de la ventana activa mientras deshabilita múltiples atajos de teclado y previene que la víctima interactúe con cualquier aplicación adicional que no sea la ventana emergente.

Desde el Laboratorio de ESET se cree que los archivos maliciosos utilizados para infectar el dispositivo de la víctima se propagan a través de una campaña de correo electrónico no deseado, con los archivos disfrazados de archivos PDF legítimos.

La manera más sencilla de distribuir estos troyanos bancarios es utilizando un downloader (archivo ejecutable de Windows) que se hace pasar por el instalador de un software legítimo. Este método, utiliza una cadena de múltiples etapas empleando varias capas de downloaders como JavaScript, PowerShell o Visual Basic Script (VBS). El payload final comúnmente se entrega a través de un archivo zip que contiene el troyano bancario”, comentó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las nuevas familias de troyanos bancarios descubiertos comparten un conjunto de características comunes: están escritos en el lenguaje de programación Delphi, contienen funcionalidad de backdoor, abusan de herramientas y software legítimos y están destinados a países de habla hispana o portuguesa.

La principal ventaja que los autores del malware obtienen a partir de este método es que resulta muy complicado para investigadores de malware llegar al final de la cadena y por lo tanto analizar el payload final. Sin embargo, también es más sencillo para una solución antivirus detener la amenaza porque solo necesita romper un eslabón de la cadena”, concluyó Gutierrez.

Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados


CyberMonday 2017: todas las novedades de esta edición

El evento más importante de ventas online organizado por CACE se llevará a cabo el próximo 30, 31 de octubre...

Cerrar