Nuevo troyano bancario se hace pasar por módulo de seguridad
Un troyano bancario recién descubierto se aparta de las tácticas habituales observadas por los investigadores de malware al elegir una instalación visible y al agregar componentes de ingeniería social.
CamuBot apareció el mes pasado en Brasil y está dirigido a empresas y organizaciones del sector público. La víctima es la que instala el malware, siguiendo las instrucciones de un operador humano que pretende ser un empleado del banco.
Ataque de ingeniería social
El malware en sí está disfrazado como una aplicación de seguridad, marcada con el logotipo y la imagen del banco.
"Para llevar a cabo sus ataques, los operadores de CamuBot comienzan con algunos reconocimientos básicos para encontrar empresas que realizan operaciones bancarias con una determinada institución financiera. Luego inician una llamada telefónica a la persona que probablemente tenga las credenciales de la cuenta bancaria de la empresa", dijeron expertos de IBM X-Force Research en una publicación de blog.
El pretexto del atacante que lleva a la instalación de la herramienta de seguridad falsa es verificar la validez del módulo de seguridad actual del banco.
Fingiendo ser un empleado de la institución financiera con la que la víctima hace negocios, el operador le pide al usuario que cargue un sitio web que muestra convenientemente que el software está desactualizado.
Para solucionar el problema, el atacante engaña a la víctima para que descargue e instale un nuevo módulo para actividades bancarias en línea, con los privilegios de un administrador.
Ejecutan transacciones fraudulentas en el sistema de la víctima
La rutina de CamuBot incluye configurar un proxy SOCKS basado en SSH en el dispositivo y habilitar el reenvío de puertos. El objetivo de esto es establecer un túnel de comunicación bidireccional con el dispositivo, que permita a los atacantes usar la dirección IP de la víctima cuando accedan a la cuenta bancaria comprometida.
Para obtener las credenciales de inicio de sesión de la cuenta bancaria en línea se usa phishing. Después de la instalación, CamuBot lanza un sitio web falso para el banco objetivo, lo que obliga a la víctima a iniciar sesión, enviando así la información al atacante.
Para eludir la detección de antivirus y firewall, el malware se agrega a la lista de programas aprobados en ambas herramientas de seguridad.
CamuBot está preparado para defensas más fuertes
Los autores del malware se aseguraron de que su creación tuviera éxito en situaciones que requieren autenticación de dos factores.
Si el segundo desafío de autenticación requiere un dispositivo que se conecta a la computadora infectada, CamuBot puede reconocerlo e instalar los controladores correctos. Luego se le pide a la víctima que comparta el código temporal con el operador por teléfono.
"Con el código de una sola vez, los delincuentes pueden intentar una transacción fraudulenta, haciendo un túnel a través de su dirección IP para hacer que la sesión parezca legítima del lado del banco", explican los investigadores.
Los ataques con CamuBot son personalizados, dice el equipo de IBM X-Force, y apuntan a las empresas en Brasil, y no ha habido avistamientos en otros lugares.
Estos ataques dependen mucho de la ingeniería social, pero el atacante tiene una buena cantidad de trucos y es probable que las víctimas caigan en cada uno de ellos. Desde el instalador que está envuelto en la imagen de marca del banco y hasta la instalación del controlador, hay pocos puntos en la conversación donde se puede descubrir que se trata de un atacante.
Artículos relacionados:
- Troyano bancario Gozi utiliza la botnet Dark Cloud para dispersarse
- BackSwap Banking Trojan utiliza técnicas nunca antes vistas
- Una nueva era de troyanos en la banca móvil