ESET descubre un nuevo malware que roba dinero mediante transferencias bancarias
07/07/2018 - 16:12:42
ESET.- El Laboratorio de Investigaci�n de ESET, compa��a l�der en detecci�n proactiva de amenazas, recientemente descubri� una nueva familia de malware bancario que utiliza una t�cnica innovadora para manipular el navegador, provocando que las transacciones bancarias sean enviadas a cuentas de los atacantes sin que el usuario sospeche.
Este malware bancario utiliza una t�cnica que en lugar de usar m�todos complejos de inyecci�n de procesos para monitorear la actividad del navegador, intercepta eventos espec�ficos del bucle de mensajes de Windows, de tal modo que pueda inspeccionar los valores de las ventanas en busca de actividades bancarias. Una vez que la actividad bancaria es detectada, el malware inyecta un JavaScript malicioso en el sitio web. Todas estas operaciones son realizadas sin que el usuario lo note.
En enero de 2018 se identific� por primera vez al grupo detr�s de este malware bancario propagando sus primeros proyectos; siendo uno de ellos un malware que robaba criptomonedas reemplazando la direcci�n de las billeteras en el portapapeles. El grupo se focaliz� en malware de clipboard durante unos meses, hasta que finalmente introdujo la primera versi�n del malware bancario. Como resultado se observ� un pico en la tasa de detecci�n en comparaci�n con los proyectos previos, esto se debi� a que los cibercriminales fueron muy activos en el desarrollo del banker e introdujeron nuevas versiones casi de forma diaria.
El banker es distribuido mediante campa�as de spam maliciosas a trav�s del correo, que contienen como adjunto un downloader JavaScript, fuertemente ofuscado, de una familia com�nmente conocida como Nemucod. De acuerdo a los an�lisis, las campa�as de spam est�n dirigidas principalmente contra usuarios polacos.
Se caracteriza por manipular el sistema simulando el accionar de un usuario. El malware no interact�a en ning�n punto con el navegador a nivel de procesador, por lo tanto, no requiere de privilegios especiales y anula cualquier fortalecimiento del navegador por parte de terceros; que generalmente se enfocan en m�todos de inyecci�n convencionales. Otra ventaja para los atacantes es que el c�digo no depende ni de la arquitectura del navegador ni de su versi�n, y que un �nico patr�n de c�digo funciona para todos los navegadores.
Una vez identificadas, el banker implementa un script espec�fico para cada banco, ya que cada sitio bancario es diferente y presenta un c�digo fuente distinto. Estos scripts son inyectados en p�ginas en las que el malware identifica una solicitud de inicio de transferencia bancaria, como el pago de una cuenta. El script inyectado de manera secreta reemplaza el n�mero de cuenta del destinatario con uno diferente y cuando la v�ctima decide enviar la transferencia bancaria, el dinero ser� enviado en su lugar al atacante. Cualquier medida de seguridad contra pagos no autorizados, tales como doble factor de autorizaci�n, no ser� de ayuda en este caso dado que el propietario de cuenta est� enviando la transferencia voluntariamente.
Los n�meros de cuentas bancarias maliciosas cambian de manera muy frecuente, y pr�cticamente todas las campa�as tienen uno nuevo. El banker solo robar� dinero si el monto de la transferencia bancaria est� dentro de cierto rango � generalmente se eligieron como blancos pagos que est�n entre los 2.800 y los 5.600 USD. El script reemplaza la cuenta bancaria receptora original y tambi�n reemplaza el campo de entrada para esos n�meros con uno falso que muestra la cuenta bancaria original, para que de esta manera el usuario vea el n�mero v�lido y no sospeche de nada.
�Este hallazgo nos muestra que en el transcurso de la batalla entre la industria de seguridad y los autores de malware bancario, las nuevas t�cnicas maliciosas no necesitan ser altamente sofisticadas para ser efectivas. Pensamos que en la medida de que los navegadores est�n m�s protegidos ante la inyecci�n de c�digos convencionales, los autores de malware atacar�n los navegadores de diferentes formas. En este sentido, Win32/BackSwap.A simplemente nos mostr� una de las posibilidades�, mencion� Camilo Gutierrez, Jefe del Laboratorio de Investigaci�n de ESET Latinoam�rica.
Las soluciones de seguridad de ESET detectan y bloquean esta amenaza como Win32/BackSwap.A Trojan. Asimismo, desde la compa��a se notific� a los navegadores afectados acerca de esta innovadora t�cnica de inyecci�n de c�digo.
