Actualidad Info Actualidad

Troyanos bancarios como servicio: robo fácil en Brasil

Comunicaciones Hoy12/07/2016
troyanos bancariosConocido por ser uno de los centros de desarrollo de troyanos para banca, no es de extrañar que los cibercriminales de Brasil hayan acabado ofreciendo lo que podría llamarse como "troyanos bancarios al servicio del cliente”, o troyanos as-a-service. Es decir, en este caso concreto, un cibercriminal experto comenzó ofreciendo un troyano bancario completamente funcional, así como el alquiler de su infraestructura asociada, a ladrones menos calificados.
Esta amenaza en particular llamó la atención del equipo de investigación de Trend Micro, debido a su anuncio, que incluía vídeos de demostración en YouTube. Su creador, "Ric", alquila los servicios de este particular malware por unos 600 dólares durante 10 días. El servicio incluye una consola integral, altamente capacitada y bien diseñada, así como las habilidades desarrolladas para saltarse todos los códigos de autenticación que utilizan los bancos en Brasil.

Anuncios
troyanos1Es habitual entre los cibercriminales brasileños anunciar sus servicios en Internet, y Ric no es diferente. Utiliza una cuenta de YouTube para mostrar sus productos, como puede verse a continuación.
La descripción del canal se traduciría como “Troyano bancario en alquiler o código fuente a la venta, con acceso a más de 9 bancos, versión 2016”.
En su canal, Ric ha colgado tres vídeos mostrando diferentes aspectos de este troyano bancario y ha acumulado más de 1.000 visualizaciones. En la descripción de cada uno de los vídeos contiene un link a una página con métodos de pago. Ric también publica su nombre de usuario en Skype para que los clientes interesados puedan negociar con él. Trend Micro considera que trabaja por su cuenta y no forma parte de ningún grupo cibercriminal.
Ric también proporciona una lista de actualizaciones en el troyano para que los clientes puedan estar al tanto de cualquier cambio o mejora en el malware. (Trend Micro detectó este particular troyano en BKDR_MANGIT.SM).

troyanos2

Además, proporciona una lista con todos los bancos con los que “trabaja”:

troyanos3
Los mayores bancos de Brasil están incluidos en esta lista, así como la plataforma de pago online PayPal y Mercado Livre, una importante página de subasta local. Otras webs como las de algunos ISP y proveedores de webmail también se encuentran en la lista.
Todo el paquete se vende por 2.000 reales (algo menos de 600 dólares), válido por un período de 10 días. Se trata de un precio relativamente caro para el mercado negro brasileño, pero el paquete incluye:



  • Un panel de control para dirigir/operar las máquinas afectada

  • El propio troyano bancario

  • Un loader/dropper/infector (archivos para ejecutar, propagar e infectar servicios)

  • Un programa de actualización automática para las máquinas afectadas

  • Toda la infraestructura necesaria para realizar con éxito los ataques


Para los usuarios que deseen tener un total control sobre sus ataques y dispongan de su propia infraestructura, el código fuente se encuentra disponible por 30.000 reales, aproximadamente unos 8.800 dólares.

Cómo funciona el ataque
Si un aspirante a cibercriminal compra este "servicio", recibe un enlace al portal de administración con credenciales válidas durante el período de alquiler de la compra. Necesitará establecer un servicio de DNS dinámico para que sus víctimas se dirijan a la infraestructura proporcionada. Además, él también será el responsable de que los usuarios visiten la URL maliciosa. Para ello, el phishing sigue siendo el método preferido.

Actualmente, los bancos brasileños protegen muchas cuentas con algún tipo de autenticación de dos factores. Los códigos obtenidos a través de mensajes SMS y las apps de autentificación son las dos formas más populares. Para conseguir saltarse esta protección, Ric no ataca el protocolo de autenticación en sí, ya que se salta el acceso remoto de esta forma:

  1. Una vez que el troyano se instala en la máquina de la víctima, el atacante tiene el control total sobre él

  2. Cuando la víctima accede a la página web del banco, el atacante recibe una alerta (esta alerta, incluso se puede enviar a través de SMS)

  3. El atacante entonces comienza a ver la pantalla de la víctima y solo tiene que esperar para que ésta acceda a su cuenta bancaria

  4. Después de eso, se bloquea la pantalla de la víctima. El mensaje que se muestra está diseñado para hacerle pensar que la página web del banco le está pidiendo que espere.

  5. El atacante toma el control de la máquina de la víctima y se inicia la transferencia de dinero o el pago de facturas.

  6. Cuando la página web del banco le pide al operador los códigos de autentificación, el operador desbloquea la pantalla de la víctima y hace que aparezca una ventana en la que se solicita una identificación de señal falsa, haciéndole creer que tiene que introducir las claves para continuar.

  7. Una vez dada la autorización, el atacante puede completar la transacción maliciosa.


Puede haber algunas diferencias entre los distintos bancos, pero la esencia del ataque no cambia. Los actuales troyanos bancarios brasileños se han convertido, no tanto en ladrones de datos, sino en herramientas de administración remota destinadas a usos malintencionados.

A continuación se incluye una pantalla del panel de control:

troyanos4

En este pantallazo, Ric está controlando el ordenador de una víctima y puede pedirle introducir sus claves, fecha de nacimiento, códigos de verificación, número de teléfono, móvil o utilizar pop-ups falsos del banco. Es una aplicación con todas las funciones y se comporta como lo haría una "herramienta" creada por profesionales.
La capacidad para operar y realizar transacciones desde la máquina de la víctima de forma remota hace que el fraude sea más difícil de detectar. Sin un examen en profundidad del sistema del usuario, parecerá que las operaciones fueron hechas desde el PC del usuario (y por tanto, por el cliente real). Esto hace que sea necesario recurrir a otras técnicas para poder detectar el delito.

¿Quién es Ric?
A día de hoy, no se sabe mucho sobre Ric, la persona que creó esta amenaza. Lo que Trend Micro sí sabe es que su “trabajo” es de extraordinaria calidad. Todo está codificado desde cero y a veces utiliza packers para proteger sus archivos, es decir, un programa que permite camuflar partes del código, modificarlo, etc. Algunas muestras también han sido firmadas con certificados auto-asignados para tratar de eludir el software de seguridad.

Ric tiene al menos otros tres apodos y probablemente se encuentra en la región norte de Brasil. Esta parte del país es conocida por ser un semillero para la actividad cibercriminal. Ya el año pasado, Trend Micro estudió y desarrolló diversos materiales sobre un joven cibercriminal de esta misma zona del país apodado como "Lordfenix”.
En el pasado, miembros de distintas bandas de ciberdelincuentes han sido detenidos en la región.

Indicadores de compromiso

Los siguientes hashes de ficheros están relacionados con este ataque:

  • 0544ddf37ba1fa1cd1406e3230b71665f4d7f0e4

  • 0a07ffa9214300a2b344012c891d21eca3fe518b

  • 1248a4e8deba0969b157b04fd092e74e19819244

  • 148959187df82a064d5117cad1390c123bd631fd

  • 1bd6afddb00c2c3ebcd6f7804e2190b43c493989

  • 1ce922aae75bf64012cab8d450f0d9885b159436

  • 2021d0cd76069b0aa95cf9598720c9e1d65fe91f

  • 2416b15f97528dd8186ac755e08c4f7668c02dad

  • 245be19ca07d337b9fbe47674d25fb51459e3d44

  • 259e299670e8a1e7d2f46c5782045b3153e5d6a9

  • 2a2593cf050f30ae8ed4b9dd1807ca6f521b6d6a

  • 2a7cc963e16abafa89ac8d56cc09668095a5a73a

  • 30f06f3a9781cb50ae66ca1aa12c0503bbf08fad

  • 34f3406a7441c3c7b21ffa0877e068e609a84050

  • 3b7ad12650d9fd3db96781d5ba1267b70173ba6f

  • 4108227957af840bae040e19473eb4d8b44b96d0

  • 44bfd351bb56168433176914dfbd802c7d5d0d62

  • 463720e81a715502f358f130f19aefcba197f61e

  • 494c70aa394c9ac2357ffd24015fdf6520fc099e

  • 4977d5ee347b165754ff7aeed1d7558c57470e47

  • 54d5c67a0ec3369470c5ef3e349a8388ec16d129

  • 5638de1f210601fbaad485a2697e025c74d3c115

  • 591ff4b508dd2a95cb7902b8ee053faedc499cde

  • 5e486833c60b71e06875413bc65e5e04294a477f

  • 5f6d52c6e522b85e42795aa92080571013789edc

  • 63f7cb0269c6025bedcbf5d504b017a2a6040922

  • 63f7cb0269c6025bedcbf5d504b017a2a6040922

  • 6f5ec43f961aed5ca1636a3076d20c194ac224a6

  • 6fe8e9bc672075d67b7fcca8d91cf2965ff8faad

  • 712f9abcda812bce969aabf737c2941e61a8c721

  • 766e61c2fa635889d37b7102df962898493b51ad

  • 79d263d20f90510fbac226fd74ad62e1a1c8d5d9

  • 7b375374634c14ea44096b6867c5efe422792a18

  • 7c2d0da47c6e25bd71df95b92af623bb3f9fdffb

  • 7d010b949297d5c9c2a48ee576516ddae2d4cdcb

  • 8463a6b1c20d21d402880901e2d8835fbca4684b

  • 86f8832e4feec308d9502a68d387fccc781a07e1

  • 884486e940e83da215d891d11d28e30edf63ac4e

  • 88a2f63ae6cd0d0e78d0da8554436fd4e62fad14

  • 8ea8fce842c9e793a8c19ffba17b86c89b15ac48

  • 9bf2e20ccc8ad7e609b6c69cc63adaabd2b9a035

  • 9c9934009a8087733e7c31c53af034c82ea534cb

  • a9a266c5b71c20f5a1cde9227030dc94622e7c5e

  • af350a24879f47b6b65abb9e3cda5b1545256979

  • b024a8770e3e76c61149fcfbb151dcf824f8268e

  • b14865b3f7c4ab15661ec06084a6bc90ae0ef92a

  • b15051e1287ac53c93e388aae52e7986dbd7d3c6

  • b1eab55c914c0883490fbc97f084c5798faa00a6

  • c286dfc1b19bb5d758ce84d062dbd838b83c1912

  • c8f90cbabbdc79f406505cfa7822c1b6ab668bed

  • d170fbbad42d66f17ae29d88c3ef03241f936310

  • d3415207af815b94880b3ec9397159009722595f

  • d7a7345f91c2ec5950844db3a30b19f647bd534e

  • d9aecea5197780c88c642f0b864391f5e5f3493a

  • e0e0c1ec46cc5b740e73cffb4b3e6491bc049852

  • e16fa5a4802915b9975e7883ccbb6de105f3919f

  • e1bfec0463f02b46e317c28b4f9f3cecd2612481

  • e22a3464a0036d66ebe50b16cfe30335167c2a43

  • e2a1ea56b151147b58451b8b5799d1c268975d3d

  • e380816231cff0967ff77c55bfadf60d76b4259d

  • e6200a0020f164798d41a068734a20befa7effc1

  • e65cb02eb39f64681eeed1cb7865ac66b6fd37c3

  • ec2493b621a960900f8fcc749eb8ab7bacd70f7b

  • f5728c4d3f94e6fc9399f243beaa795a9f728224

  • f68cfd93bee778249d95cc67dc853ad22d149d67

  • f849382d3bdb6b0d945cd29a3c85e52863c0a0d9

  • f8e8dd3d5f18e4414db85caa467492c064af8276


Para más información consulte las siguientes websites y URLs:

  • hxxp://www.foschiattisrl.it/libraries/phputf8/utils/JK2007.exe

  • hxxp://exceedcosmeticos.com.br/appword.exe

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

NEWSLETTERS

  • Newsletter Informática y Comunicaciones (Comunicaciones Hoy)

    14/11/2024

  • Newsletter Informática y Comunicaciones (Comunicaciones Hoy)

    07/11/2024

ÚLTIMAS NOTICIAS

EMPRESAS DESTACADAS

OPINIÓN

OTRAS SECCIONES

SERVICIOS