Nuevo crimeware ataca cuentas bancarias en latinoamérica

0

Tras la aparición de las anteriores redes bot (botnets) vOlk (Mejico) y S.A.P.Z (Perú) ha sepertado un nuevo candidato a robar credenciales bancarias. Su nombre es PiceBOT, recien aterrizado en el mercado latinoamericano, este crimeware se vende en el mercado negro por unos 140$.

Como otros programas crimeware de este tipo, su principal propósito es la distribución de malware encargado de robar información financiera a través de ataques locales de “pharming” (modificación arbitraria de archivos de un servidor) Aunque este conjunto de amenazas son de reciente aparición -menos de un mes- ya ha sido adoptado por numerosos atacantes en latinoamérica para atacar, mediante phising, cuentas de los bancos más importantes de la región. Hasta el momento ya se han contabilizado un buen número de ataques en los siguientes países: Chile, Perú, Panama, Costa Rica, Mejico, Colombia, Uruguay, Venezuela, Ecuador, Nicaragua y Argentina.

La siguiente imagen, extraída de un foro de los “bajos fondos” de la red, nos muestra algunos ejemplos.

Desde un punto de vista técnico, guarda muchas similitudes con el malware propagado por las redes vOlk y S.A.P.Z mencionadas anteriormente. En los próximos días aparecerán más detalles. Lo que aún está por determinar es de qué país de la región proceden estos ataques, los indicios apuntan en principio a Guatemala, Méjico o Perú. Otra característica interesante que distingue a este de otros candidatos aparecidos en sudamérica es su proceso de autenticación simple, bastando sólo una password para acceder a su panel de administración.

El proceso muestra la siguiente forma de operar: el primer ciclo de propagación descarga al sistema un “trojan dropper” que descargará un troyano, estableciendo conexión con el C2 (Panel de comandos y control) del botnet, de este modo el atacante empieza a obtener los datos que le interesan de la víctima. Otra pieza de malware se descargará de la url contenida en el archivo “url_des.txt”, y se modificará la información contenida en los archivos del servidor mediante los parámetros situados en el archivo “toma.php

Hasta el momento se han detectado al menos un par de docenas de variantes de malware administradas a través de PiceBOT que han sido detectadas por los laboratorios de Kaspersky generalmente con el nombre Trojan-Dropper.Win32.Injector y su foco geogréfico, hasta el momento, está situado en las provincias antes mencionadas.

Una cosa está clara, y es que américa latina se ha convertido en un mercado competitivo y muy a tener en cuenta para los cibercriminales de la región, donde destacaron recientemente los ataques hacia cuentas de Amazon en la zona, publicados en verano de 2012. En parte, estos ataques se han valido de cierto nivel de ingenuidad en muchos de los usuarios de la región en torno a los riesgos de la red, pero por supuesto también a la carencia de una legislación efectiva al respecto.

PiceBOT ha conseguido, en un corto período de tiempo, alcanzar un significativo porcentaje de éxito entre los atacantes de la región, si lo comparamos con el crimeware procedente de Europa del este. Es posible que cuando los cibercriminales otorgan más relevancia al malware local tengan en cuenta lo siguiente: 

1. El menor coste del conjunto de componentes, 140$ que contrastan con los más de 1000 o 2000$ que valen generalmente los productos europeos.

2. La función de este conjunto de herramientas es exclusivamente atacar mediante phishing, algo que parece casar mejor con los objetivos de los atacantes locales.

3. El retorno de la inversión es casi inmediato ya que, aunque se usan técnicas triviales mejoradas con ataques de ingeniería social, la tasa de infección usando estos códigos es muy alta, principalmente debido a la falta de conciencia entre el público vulnerable.

Si descubrimos nuevos avances importantes, seréis los primeros en saberlo.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR