10°C
Para infectar a sus vĆctimas utilizan un Ćŗnico downloader, el cual consiste en un archivo ejecutable de Windows que muchas veces simula ser el instalador de un software legĆtimo.
AdemĆ”s, hacen uso de tĆ©cnicas de ingenierĆa social para lograr que la vĆctima lleve adelante una acciĆ³n relacionada con su banco, como puede ser, por ejemplo, la verificaciĆ³n de los datos de una tarjeta de crĆ©dito, explicaron desde la empresa de seguridad informĆ”tica.
En este sentido, este tipo de troyano bancario monitorea las ventanas activas en el equipo de la vĆctima y en caso de que detecte una ventana relacionada con una entidad bancaria, el malware entra en acciĆ³n desplegando una falsa ventana emergente que suplanta la identidad de dicha entidad bancaria para, por ejemplo, robar datos privados de la vĆctima.
Ā«SegĆŗn pudimos saber empezĆ³ a operar en enero de este aƱo. Sabemos que estĆ” primordialmente apuntado a Brasil y MĆ©xico por dos cuestiones. Primero, los focos de ataque que aparecĆan en los clientes de la empresa eraen en esos paĆses. Segundo, por una cuestiĆ³n idiomĆ”ticaĀ», explica Luis Lubeck, especialista en seguridad informĆ”tica de ESET para AmĆ©rica latina.
Como en el ataque intervienen enlaces malicioso y adulterados por los atacantes, los expertos pudieron relevar parte de la intensidad del ataque. Ā«Como usaron servicios de corte de enlaces web, especĆficamente Bit.ly, sabemos que en MĆ©xico hubo 2.700 personas que accedieron al enlaceĀ», explica Lubeck.
ĀæCĆ³mo funciona el ataque?
A esta nueva familia de malware se la conoce como Amavaldo. Se trata de un malware modular que tiene tres partes bƔsicas:
Una copia de una aplicaciĆ³n legĆtima (EXE)
Un injector (DLL)
Un troyano bancario cifrado (descifra en una DLL)
Este archivo llega en la forma de un correo electrĆ³nico falso que suele tratarse de avisos genĆ©ricos sobre trabajo o sobre problemas con la tarjeta de crĆ©dito. Estos correos suelen comprarse en mercados negros de la web o conseguirse gratis luego de diferentes filtraciones de mails.
Si el usuario Ā«muerde el anzueloĀ» y descarga el archivo pensando que es legĆtimo entonces el malware malicioso empieza a actuar.
El downloader (archivo malicioso que se descarga) guarda todos los contenidos del archivo ZIP con el malware en el disco duro dentro de una misma carpeta.
Aprovechando un exploit llamado DLL side-loading, los atacantes Ā«confundenĀ» a la mĆ”quina y la hacen cargar un archivo de este tipo de su elecciĆ³n. En este caso, se trata de MsCtfMonitor.dll (el troyano bancario). El injector busca ese troyano bancario cifrado (un archivo sin extensiĆ³n cuyo nombre coincide con el del injector DLL) y si tal archivo es encontrado, el injector descifra y ejecuta el troyano bancario.
Una vez dentro de la mĆ”quina, el troyano empieza a buscar las rutas clĆ”sicas de informaciĆ³n bancaria (como por ejemplo %LocalAppData%\Aplicativo Itau).
Al igual que otros troyanos bancarios, Amavaldo soporta varios comandos de backdoor. Las capacidades de estos comandos incluyen:
Obtener capturas de pantalla
Capturar fotos de la vĆctima a travĆ©s de la cĆ”mara web
Registro del texto que se introduce a travƩs del teclado
Descargar y ejecutar otros programas
Restringir accesos a varios sitios bancarios
SimulaciĆ³n de teclado y ratĆ³n
Auto actualizaciĆ³n
Cuando el malware detecta una ventana web relacionada a un banco, realiza una captura de pantalla del escritorio y hace que se vea como el nuevo fondo de pantalla.
Luego despliega una falsa ventana emergente que es elegida en base al texto de la ventana activa mientras deshabilita mĆŗltiples atajos de teclado y previene que la vĆctima interactĆŗe con cualquier cosa adicional que no sea la ventana emergente.
En brasil, por ejemplo, se uso el popular programa Acrobat Reader como puerta de entrada al ataque. Ā«Dentro del mail de phishing se hacia referencia a un documento adjunto en formato PDF o similares. Cuando se intentaba abrir aparecĆa un error y dentro del correo venĆa un instalador falso de Acrobat. AsĆ se puede presuponer que tiene mas veracidadĀ», explica el experto de la empresa que investigĆ³ estos casos.
Lubeck explica que aĆŗn no se sabe la procedencia del ataque y que ningĆŗn grupo proclamĆ³ autorĆa. Ā«Pero por el modo de ataque, a donde apuntan y los datos que buscan se supone que son de la regiĆ³nĀ», afirmĆ³.
Del mismo modo, aĆŗn no se conocen ataques dirigidos a la Argentina y, por como estĆ” programada la cadena de infecciĆ³n del troyano, no parece buscar bancos argentinos.
Ā«Lo importante para cuidarse de estos ataques es tener las mĆ”quinas y los celulares siempre actualizados, porque estos updates incluyen medidas de seguridad. AdemĆ”s, no hacer click en ningĆŗn enlace que generĆ© sospechas y ante la duda comunicarse con las entidades correspondientesĀ», asegura Lubeck.
Fuente: El Cronista
