11°C
Para infectar a sus vÃctimas utilizan un único downloader, el cual consiste en un archivo ejecutable de Windows que muchas veces simula ser el instalador de un software legÃtimo.
Además, hacen uso de técnicas de ingenierÃa social para lograr que la vÃctima lleve adelante una acción relacionada con su banco, como puede ser, por ejemplo, la verificación de los datos de una tarjeta de crédito, explicaron desde la empresa de seguridad informática.
En este sentido, este tipo de troyano bancario monitorea las ventanas activas en el equipo de la vÃctima y en caso de que detecte una ventana relacionada con una entidad bancaria, el malware entra en acción desplegando una falsa ventana emergente que suplanta la identidad de dicha entidad bancaria para, por ejemplo, robar datos privados de la vÃctima.
«Según pudimos saber empezó a operar en enero de este año. Sabemos que está primordialmente apuntado a Brasil y México por dos cuestiones. Primero, los focos de ataque que aparecÃan en los clientes de la empresa eraen en esos paÃses. Segundo, por una cuestión idiomática», explica Luis Lubeck, especialista en seguridad informática de ESET para América latina.
Como en el ataque intervienen enlaces malicioso y adulterados por los atacantes, los expertos pudieron relevar parte de la intensidad del ataque. «Como usaron servicios de corte de enlaces web, especÃficamente Bit.ly, sabemos que en México hubo 2.700 personas que accedieron al enlace», explica Lubeck.
¿Cómo funciona el ataque?
A esta nueva familia de malware se la conoce como Amavaldo. Se trata de un malware modular que tiene tres partes básicas:
Una copia de una aplicación legÃtima (EXE)
Un injector (DLL)
Un troyano bancario cifrado (descifra en una DLL)
Este archivo llega en la forma de un correo electrónico falso que suele tratarse de avisos genéricos sobre trabajo o sobre problemas con la tarjeta de crédito. Estos correos suelen comprarse en mercados negros de la web o conseguirse gratis luego de diferentes filtraciones de mails.
Si el usuario «muerde el anzuelo» y descarga el archivo pensando que es legÃtimo entonces el malware malicioso empieza a actuar.
El downloader (archivo malicioso que se descarga) guarda todos los contenidos del archivo ZIP con el malware en el disco duro dentro de una misma carpeta.
Aprovechando un exploit llamado DLL side-loading, los atacantes «confunden» a la máquina y la hacen cargar un archivo de este tipo de su elección. En este caso, se trata de MsCtfMonitor.dll (el troyano bancario). El injector busca ese troyano bancario cifrado (un archivo sin extensión cuyo nombre coincide con el del injector DLL) y si tal archivo es encontrado, el injector descifra y ejecuta el troyano bancario.
Una vez dentro de la máquina, el troyano empieza a buscar las rutas clásicas de información bancaria (como por ejemplo %LocalAppData%\Aplicativo Itau).
Al igual que otros troyanos bancarios, Amavaldo soporta varios comandos de backdoor. Las capacidades de estos comandos incluyen:
Obtener capturas de pantalla
Capturar fotos de la vÃctima a través de la cámara web
Registro del texto que se introduce a través del teclado
Descargar y ejecutar otros programas
Restringir accesos a varios sitios bancarios
Simulación de teclado y ratón
Auto actualización
Cuando el malware detecta una ventana web relacionada a un banco, realiza una captura de pantalla del escritorio y hace que se vea como el nuevo fondo de pantalla.
Luego despliega una falsa ventana emergente que es elegida en base al texto de la ventana activa mientras deshabilita múltiples atajos de teclado y previene que la vÃctima interactúe con cualquier cosa adicional que no sea la ventana emergente.
En brasil, por ejemplo, se uso el popular programa Acrobat Reader como puerta de entrada al ataque. «Dentro del mail de phishing se hacia referencia a un documento adjunto en formato PDF o similares. Cuando se intentaba abrir aparecÃa un error y dentro del correo venÃa un instalador falso de Acrobat. Asà se puede presuponer que tiene mas veracidad», explica el experto de la empresa que investigó estos casos.
Lubeck explica que aún no se sabe la procedencia del ataque y que ningún grupo proclamó autorÃa. «Pero por el modo de ataque, a donde apuntan y los datos que buscan se supone que son de la región», afirmó.
Del mismo modo, aún no se conocen ataques dirigidos a la Argentina y, por como está programada la cadena de infección del troyano, no parece buscar bancos argentinos.
«Lo importante para cuidarse de estos ataques es tener las máquinas y los celulares siempre actualizados, porque estos updates incluyen medidas de seguridad. Además, no hacer click en ningún enlace que generé sospechas y ante la duda comunicarse con las entidades correspondientes», asegura Lubeck.
Fuente: El Cronista
