29°C
Para infectar a sus víctimas utilizan un único downloader, el cual consiste en un archivo ejecutable de Windows que muchas veces simula ser el instalador de un software legítimo.
Además, hacen uso de técnicas de ingeniería social para lograr que la víctima lleve adelante una acción relacionada con su banco, como puede ser, por ejemplo, la verificación de los datos de una tarjeta de crédito, explicaron desde la empresa de seguridad informática.
En este sentido, este tipo de troyano bancario monitorea las ventanas activas en el equipo de la víctima y en caso de que detecte una ventana relacionada con una entidad bancaria, el malware entra en acción desplegando una falsa ventana emergente que suplanta la identidad de dicha entidad bancaria para, por ejemplo, robar datos privados de la víctima.
“Según pudimos saber empezó a operar en enero de este año. Sabemos que está primordialmente apuntado a Brasil y México por dos cuestiones. Primero, los focos de ataque que aparecían en los clientes de la empresa eraen en esos países. Segundo, por una cuestión idiomática”, explica Luis Lubeck, especialista en seguridad informática de ESET para América latina.
Como en el ataque intervienen enlaces malicioso y adulterados por los atacantes, los expertos pudieron relevar parte de la intensidad del ataque. “Como usaron servicios de corte de enlaces web, específicamente Bit.ly, sabemos que en México hubo 2.700 personas que accedieron al enlace”, explica Lubeck.
¿Cómo funciona el ataque?
A esta nueva familia de malware se la conoce como Amavaldo. Se trata de un malware modular que tiene tres partes básicas:
Una copia de una aplicación legítima (EXE)
Un injector (DLL)
Un troyano bancario cifrado (descifra en una DLL)
Este archivo llega en la forma de un correo electrónico falso que suele tratarse de avisos genéricos sobre trabajo o sobre problemas con la tarjeta de crédito. Estos correos suelen comprarse en mercados negros de la web o conseguirse gratis luego de diferentes filtraciones de mails.
Si el usuario “muerde el anzuelo” y descarga el archivo pensando que es legítimo entonces el malware malicioso empieza a actuar.
El downloader (archivo malicioso que se descarga) guarda todos los contenidos del archivo ZIP con el malware en el disco duro dentro de una misma carpeta.
Aprovechando un exploit llamado DLL side-loading, los atacantes “confunden” a la máquina y la hacen cargar un archivo de este tipo de su elección. En este caso, se trata de MsCtfMonitor.dll (el troyano bancario). El injector busca ese troyano bancario cifrado (un archivo sin extensión cuyo nombre coincide con el del injector DLL) y si tal archivo es encontrado, el injector descifra y ejecuta el troyano bancario.
Una vez dentro de la máquina, el troyano empieza a buscar las rutas clásicas de información bancaria (como por ejemplo %LocalAppData%\Aplicativo Itau).
Al igual que otros troyanos bancarios, Amavaldo soporta varios comandos de backdoor. Las capacidades de estos comandos incluyen:
Obtener capturas de pantalla
Capturar fotos de la víctima a través de la cámara web
Registro del texto que se introduce a través del teclado
Descargar y ejecutar otros programas
Restringir accesos a varios sitios bancarios
Simulación de teclado y ratón
Auto actualización
Cuando el malware detecta una ventana web relacionada a un banco, realiza una captura de pantalla del escritorio y hace que se vea como el nuevo fondo de pantalla.
Luego despliega una falsa ventana emergente que es elegida en base al texto de la ventana activa mientras deshabilita múltiples atajos de teclado y previene que la víctima interactúe con cualquier cosa adicional que no sea la ventana emergente.
En brasil, por ejemplo, se uso el popular programa Acrobat Reader como puerta de entrada al ataque. “Dentro del mail de phishing se hacia referencia a un documento adjunto en formato PDF o similares. Cuando se intentaba abrir aparecía un error y dentro del correo venía un instalador falso de Acrobat. Así se puede presuponer que tiene mas veracidad”, explica el experto de la empresa que investigó estos casos.
Lubeck explica que aún no se sabe la procedencia del ataque y que ningún grupo proclamó autoría. “Pero por el modo de ataque, a donde apuntan y los datos que buscan se supone que son de la región”, afirmó.
Del mismo modo, aún no se conocen ataques dirigidos a la Argentina y, por como está programada la cadena de infección del troyano, no parece buscar bancos argentinos.
“Lo importante para cuidarse de estos ataques es tener las máquinas y los celulares siempre actualizados, porque estos updates incluyen medidas de seguridad. Además, no hacer click en ningún enlace que generé sospechas y ante la duda comunicarse con las entidades correspondientes”, asegura Lubeck.
Fuente: El Cronista
