• Tweet

Hackers "black-hat" han creado una nueva variedad de troyanos la cual reescribe el estado de cuenta de bancos para ocultar el fraude.

Víctimas del troyano URLZone solamente se podrían darse cuenta de que sus cuentas fueron saqueadas verificando su saldo en una sucursal de banco o en un cajero automático. Los cibercriminales distribuyen el malware mediante sitios trampa (muchos de ellos legítimos) usando la herramienta LuckySpoilt. Un archivo pdf malicioso o javascript, son utilizados para insertar el troyano URLZone en "windows boxes" vulnerables.

El malware contiene un "keylogger" el cual captura las credenciales de acceso al banco y toma una impresión de pantalla de las actividades con las cuentas de banco las cuales son redirigidas a un C&C (Command and control) ubicado en Ucrania.

El agente del troyano recibe instrucciones de cuánto tomar de cada una de las cuentas de banco comprometidas y hacia dónde tranferir los fondos desde el C&C. Los fondos robados son transferidos a cuentas bancarias intermediarias que toman un porcentaje del dinero antes de enviar el resto al extranjeto usando transferencias bancarias.

El motivo por el cual esto está lejos de ser equiparable con los troyanos standandar, es la técnica utilizada por los defraudadores para evadir la detección. Esto lo reportó la firma de seguridad Finjan.

Una vez que el dinero es robado, el troyando crea un estado de cuenta falso para ocultar el robo. Además, los mecanismos del fraude son diseñados para permanecer "bajo el radar" de los sitemas antifraude de los bancos.

"Para minimizar la detección por los sistemas antifraude, los atacantes usan varios parámetros para definir la cantidad de dinero que robarán en cada transacción. Un criterio utilizado es verificar que el saldo de su víctima sea positivo y asegurarse que la cantidad robada no sea demasiado alta poniendo una cantidad aleatoria y se aseguran que el saldo restante se mantenga positivo."

Un cibercriminal fue capaz de robar €300,000 de cuentas de un banco alemán en 22 días usando esta técnica, según reportes de Finjan. La firma de seguridad israelí ha entregado el expediente del fraude a las autoridades alemanas.

"Para evitar la detección, los cibercriminales continúan mejorando sus metodologías para el robo de dinero y pasando por debajo de los los radares de las víctimas y de los bancos" dijo Yuval Ben-Itzhak, director de Finjan. "Con la combinación del uso de troyanos sofisticados para el robo de dinero y ,mediante cuentas intermediarias para transferir el monto robado a sus cuentas, ellos minimizan las posibilidades de ser detectados."

El último reporte de cibercrimen explica el ataque más a detalle y explica cómo los consumidores y bancos podrían protegerse en contra de nuevas amenazas.

Otros investigadores de seguridad están tomando estas amenazas muy seriamente. La firma anti-spyware Sunbelt, por ejemplo, describe la evolución de los troyanos que pueden mostrar un estado de cuenta falsa como "la siguiente cosa fea" en el malware de fraude.