Campaña de fraude bancario arroja pérdidas de medio millón de € en una semana

0

Expertos de Kaspersky Labs han descubierto, recientemente, pruebas de la existencia de ataques masivos y organizados contra clientes un granbanco europeo. Según los LOGs encontrados en el servidor y usados por los atacantes, parece ser que se han sustraído más de 50000 € en menos de una semana a clientes del banco.

The Luuk, estafa bancaria online que ha conseguido robar más de medio millón de euros

Los primeros signos de la amenaza se descubrieron el 20 de Enero de este año, cuando se localizó un centro de Control en la red. El Panel de control del mismo indicaba la existencia de un nuevo troyano utilizado para robar dinero de cuentas bancarias.

Los investigadores también encontraron Logs de transacciones en el servidor, con información como sumas de dinero y titulares de cuentas. Se identificaron más de 190 víctimas, la mayoría procedentes de Italia o Turquía. La suma sustraída, en cada caso, oscilaba entre 1700 y 39000 €.

La campaña llevaba al menos 7 días activa cuando se encontró el servidor de control. No empezó más allá del 13 de Enero de 2014. En ese tiempo los cibercriminales extrayeron más de 500000 euros. Dos días después de que el GReAT descubriese el C&C, los criminales borraron todos los rastros que hubieran servido para localizarles. SIn embargo, los expertos creen que esto se dede, sobre todo, a cambios en las infraestructura de la red atacante, más que en un cese de hostilidades.

Los expertos de Kaspersky Labs remitieron prontamente todas las pruebas halladas a los responsables de seguridad del banco.

Herramientas utilizadas

En el caso Luuuuk, como se le conoce, los expertos ven indicios para creer que se interceptaron, de forma automática, importantes datos financieros, que se tradujeron en transacciones fraudulentas nada más conectarse sus dueños legítimos.

“En el Servidor de Control detectamos que no había información sobre elementos de malware utilizados en esta campaña. Sin embargo, si aparecieron variaciones de Zeus (Citadel, SpyEye, IceIX y similares) con capacidades suficientes. Creemos que el malware utilizado en esta campaña sería en esencia Zeus, mezclado con sofisticadas inyecciones web en el cliente”, añadió Vicente Diaz.

Esquemas de retirada de fondos

El dinero robado era pasado a las cuentas de los delincuentes de una forma poco usual. Los expertos notaron que haía una rareza en la organización de los llamados “drops” (mulas de dinero), donde los participantes en el scam recibían parte del dinero robado en cuentas bancarias específicas, y dinero por medio de cajeros.

Había evidencias de varios grupos de mulas, cada uno con diferentes sumas de dinero asignadas. Un grupo era responsable de transferir sumas de 40 o 50000 €, otro de sumas en torno a 15 o 20000 y el tercer grupo, de más de 2000 €.

Esta diferenciación por escalas sugiere que los diseñadores de The Luuuk han querido protegerse ante las pérdidas, asginando diferentes grupos en base a su confianza: cuanto más dinero se pide a una mula que administre, más confianza se le otorga a esta.

El servidor C&C relacionado con The Luuuk fué rápidamente cerrado, poco después del comienzo de la investigación. Sin embargo, el grado de complejidad de la operación sugiere que los atacantes continuarán buscando nuevas víctimas a las que engañar. Los técnicos de Kaspersky siguen de cerca la amenaza y reportarán cualquier novedad futura.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR