Nuevo troyano Bancario se hace pasar por un Módulo de Seguridad.

Troyano

Recientemente se ha descubierto un nuevo troyano bancario, el cual cambia el tradicional "Modus Operandi" de este tipo de malware; la novedad es que la instalación es visible al usuario y añade componentes de la ingeniería social. CamuBot hizó su aparición el mes pasado en empresas de Brasil y organizaciones del sector público. La víctima que finalmente es la que instala el malware, es engañada por un operador humano que pretende ser un empleado bancario.

El malware en sí está disfrazado como una aplicación de seguridad, marcada con el logotipo y la imagen de marca del banco.

"Para llevar a cabo sus ataques, los operadores de CamuBot comienzan con algunos reconocimientos básicos para encontrar empresas que realizan operaciones bancarias con una determinada institución financiera. Luego inician una llamada telefónica a la persona que probablemente tenga las credenciales de la cuenta bancaria de la empresa", dijeron expertos de IBM X. El equipo de Force Research escribe ayer en una publicación de blog.

El ingeniero social convence al usuario final para la instalación de la supuesta herramienta de seguridad con el fin de verificar la validez del módulo de seguridad actual del banco. Fingiendo ser un empleado de la institución financiera con la que el objetivo hace negocios, el operador le pide a la víctima que cargue un sitio web el cual muestra convenientemente que el software está desactualizado. Para solucionar el problema, el atacante engaña a la víctima para que descargue e instale un nuevo módulo para actividades bancarias en línea, con los privilegios de un administrador.


Transacciones fraudulentas traspasan el sistema de la víctima.

El objetivo es establecer un túnel de comunicación de doble dirección con el dispositivo, que permite a los atacantes usar IP de la víctima teniendo acceso a la cuenta bancaria comprometida. La adquisición de las credenciales de conexión para la cuenta en línea bancaria es solucionada por phishing. Después de la instalación, CamuBot lanza un sitio web falso para el banco apuntado, incitando a la víctima para conectarse, así enviando a la información al atacante. Para evitar el antivirus y la detección de cortafuegos, el malware se añade a la lista de programas aprobados en ambos instrumentos de seguridad.

 

Firewall

CamuBot viene preparado para una defensa más fuerte, los autores del malware se aseguraron que su creación saliera exitosa en situaciones que requieren la autenticación de dos factores. Si el segundo método de autenticación requiere un dispositivo que se conecte al ordenador infectado, CamuBot puede reconocerlo e instalar a los controladores correctos. Entonces piden a la víctima compartir el código temporal con el operador por teléfono.

Driver

"Con el código antiguo, los criminales pueden intentar una transacción fraudulenta, mediante tunneling a través de su dirección IP para hacer parecer que la sesión es legítima por parte del banco" explican los investigadores. Los ataques con CamuBot son personalizados, el equipo de X-fuerza de IBM dice, Estos ataques confían mucho en la ingeniería social, pero el atacante tiene una buena bolsa de trucos y las víctimas probablemente se enamoran de cada uno de ellos.

Síguenos en FacebookTwitterunete a nuestro chat en Matrix y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila