Categor铆a: Braking News

Descubren nuevo malware que roba dinero mediante transferencias bancarias

El Laboratorio de Investigaci贸n de ESET descubri贸 una nueva familia de malware bancario que utiliza una t茅cnica innovadora para manipular el navegador, provocando que las transacciones bancarias sean enviadas a cuentas de los atacantes sin que el usuario sospeche.

Este malware bancario utiliza una t茅cnica que en lugar de usar m茅todos complejos de inyecci贸n de procesos para monitorear la actividad del navegador, intercepta eventos espec铆ficos del bucle de mensajes de Windows, de tal modo que pueda inspeccionar los valores de las ventanas en busca de actividades bancarias. Una vez que la actividad bancaria es detectada, el malware inyecta un JavaScript malicioso en el sitio web. Todas estas operaciones son realizadas sin que el usuario lo note.

En enero de 2018 se identific贸 por primera vez al grupo detr谩s de este malware bancario propagando sus primeros proyectos; siendo uno de ellos un malware que robaba criptomonedas reemplazando la direcci贸n de las billeteras en el portapapeles. El grupo se focaliz贸 en malware de clipboard durante unos meses, hasta que finalmente introdujo la primera versi贸n del malware bancario. Como resultado se observ贸 un pico en la tasa de detecci贸n en comparaci贸n con los proyectos previos, esto se debi贸 a que los cibercriminales fueron muy activos en el desarrollo del banker e introdujeron nuevas versiones casi de forma diaria.

El banker es distribuido mediante campa帽as de spam maliciosas a trav茅s del correo, que contienen como adjunto un downloader JavaScript, fuertemente ofuscado, de una familia com煤nmente conocida como Nemucod.

Se caracteriza por manipular el sistema simulando el accionar de un usuario. El malware no interact煤a en ning煤n punto con el navegador a nivel de procesador, por lo tanto, no requiere de privilegios especiales y anula cualquier fortalecimiento del navegador por parte de terceros; que generalmente se enfocan en m茅todos de inyecci贸n convencionales. Otra ventaja para los atacantes es que el c贸digo no depende ni de la arquitectura del navegador ni de su versi贸n, y que un 煤nico patr贸n de c贸digo funciona para todos los navegadores.

Una vez identificadas, el banker implementa un script espec铆fico para cada banco, ya que cada sitio bancario es diferente y presenta un c贸digo fuente distinto.Estos scripts son inyectados en p谩ginas en las que el malware identifica una solicitud de inicio de transferencia bancaria, como el pago de una cuenta.

El script inyectado de manera secreta reemplaza el n煤mero de cuenta del destinatario con uno diferente y cuando la v铆ctima decide enviar la transferencia bancaria, el dinero ser谩 enviado en su lugar al atacante.

Cualquier medida de seguridad contra pagos no autorizados, tales como doble factor de autorizaci贸n, no ser谩 de ayuda en este caso dado que el propietario de cuenta est谩 enviando la transferencia voluntariamente.

Los n煤meros de cuentas bancarias maliciosas cambian de manera muy frecuente, y pr谩cticamente todas las campa帽as tienen uno nuevo. El banker solo robar谩 dinero si el monto de la transferencia bancaria est谩 dentro de cierto rango 鈥 generalmente se eligieron como blancos pagos que est茅n entre los 2.800 y los 5.600 USD. El script reemplaza la cuenta bancaria receptora original y tambi茅n reemplaza el campo de entrada para esos n煤meros con uno falso que muestra la cuenta bancaria original, para que de esta manera el usuario vea el n煤mero v谩lido y no sospeche de nada.