32°C
Para infectar a sus vĂctimas utilizan un Ăşnico downloader, el cual consiste en un archivo ejecutable de Windows que muchas veces simula ser el instalador de un software legĂtimo.
Además, hacen uso de tĂ©cnicas de ingenierĂa social para lograr que la vĂctima lleve adelante una acciĂłn relacionada con su banco, como puede ser, por ejemplo, la verificaciĂłn de los datos de una tarjeta de crĂ©dito, explicaron desde la empresa de seguridad informática.
En este sentido, este tipo de troyano bancario monitorea las ventanas activas en el equipo de la vĂctima y en caso de que detecte una ventana relacionada con una entidad bancaria, el malware entra en acciĂłn desplegando una falsa ventana emergente que suplanta la identidad de dicha entidad bancaria para, por ejemplo, robar datos privados de la vĂctima.
«SegĂşn pudimos saber empezĂł a operar en enero de este año. Sabemos que está primordialmente apuntado a Brasil y MĂ©xico por dos cuestiones. Primero, los focos de ataque que aparecĂan en los clientes de la empresa eraen en esos paĂses. Segundo, por una cuestiĂłn idiomática», explica Luis Lubeck, especialista en seguridad informática de ESET para AmĂ©rica latina.
Como en el ataque intervienen enlaces malicioso y adulterados por los atacantes, los expertos pudieron relevar parte de la intensidad del ataque. «Como usaron servicios de corte de enlaces web, especĂficamente Bit.ly, sabemos que en MĂ©xico hubo 2.700 personas que accedieron al enlace», explica Lubeck.
ÂżCĂłmo funciona el ataque?
A esta nueva familia de malware se la conoce como Amavaldo. Se trata de un malware modular que tiene tres partes básicas:
Una copia de una aplicaciĂłn legĂtima (EXE)
Un injector (DLL)
Un troyano bancario cifrado (descifra en una DLL)
Este archivo llega en la forma de un correo electrónico falso que suele tratarse de avisos genéricos sobre trabajo o sobre problemas con la tarjeta de crédito. Estos correos suelen comprarse en mercados negros de la web o conseguirse gratis luego de diferentes filtraciones de mails.
Si el usuario «muerde el anzuelo» y descarga el archivo pensando que es legĂtimo entonces el malware malicioso empieza a actuar.
El downloader (archivo malicioso que se descarga) guarda todos los contenidos del archivo ZIP con el malware en el disco duro dentro de una misma carpeta.
Aprovechando un exploit llamado DLL side-loading, los atacantes «confunden» a la máquina y la hacen cargar un archivo de este tipo de su elección. En este caso, se trata de MsCtfMonitor.dll (el troyano bancario). El injector busca ese troyano bancario cifrado (un archivo sin extensión cuyo nombre coincide con el del injector DLL) y si tal archivo es encontrado, el injector descifra y ejecuta el troyano bancario.
Una vez dentro de la máquina, el troyano empieza a buscar las rutas clásicas de información bancaria (como por ejemplo %LocalAppData%\Aplicativo Itau).
Al igual que otros troyanos bancarios, Amavaldo soporta varios comandos de backdoor. Las capacidades de estos comandos incluyen:
Obtener capturas de pantalla
Capturar fotos de la vĂctima a travĂ©s de la cámara web
Registro del texto que se introduce a través del teclado
Descargar y ejecutar otros programas
Restringir accesos a varios sitios bancarios
SimulaciĂłn de teclado y ratĂłn
Auto actualizaciĂłn
Cuando el malware detecta una ventana web relacionada a un banco, realiza una captura de pantalla del escritorio y hace que se vea como el nuevo fondo de pantalla.
Luego despliega una falsa ventana emergente que es elegida en base al texto de la ventana activa mientras deshabilita mĂşltiples atajos de teclado y previene que la vĂctima interactĂşe con cualquier cosa adicional que no sea la ventana emergente.
En brasil, por ejemplo, se uso el popular programa Acrobat Reader como puerta de entrada al ataque. «Dentro del mail de phishing se hacia referencia a un documento adjunto en formato PDF o similares. Cuando se intentaba abrir aparecĂa un error y dentro del correo venĂa un instalador falso de Acrobat. AsĂ se puede presuponer que tiene mas veracidad», explica el experto de la empresa que investigĂł estos casos.
Lubeck explica que aĂşn no se sabe la procedencia del ataque y que ningĂşn grupo proclamĂł autorĂa. «Pero por el modo de ataque, a donde apuntan y los datos que buscan se supone que son de la regiĂłn», afirmĂł.
Del mismo modo, aún no se conocen ataques dirigidos a la Argentina y, por como está programada la cadena de infección del troyano, no parece buscar bancos argentinos.
«Lo importante para cuidarse de estos ataques es tener las máquinas y los celulares siempre actualizados, porque estos updates incluyen medidas de seguridad. Además, no hacer click en ningún enlace que generé sospechas y ante la duda comunicarse con las entidades correspondientes», asegura Lubeck.
Fuente: El Cronista
