Reemplaza cuenta bancaria receptora.
Las transacciones bancarias son actividades cada vez más aceptadas y usadas por los internautas; sin embargo, es fundamental no bajar la guardia en términos de contar con información actualizada sobre los pasos que da la ciberdelincuencia e implementar las medidas de seguridad necesarias para evitar ser víctimas de ataques informáticos.
El Laboratorio de Investigación de ESET dio a conocer el descubrimiento de una nueva familia de malware bancario que utiliza una técnica innovadora para manipular el navegador, con lo cual logra que las transacciones bancarias sean enviadas a cuentas de los atacantes sin que el usuario sospeche.
En lugar de usar métodos complejos de inyección de procesos para monitorear la actividad del navegador, este programa malicioso intercepta eventos específicos del bucle de mensajes de Windows, de tal manera que pueda inspeccionar los valores de las ventanas en busca de actividades bancarias.
«Una vez que la actividad bancaria es detectada, el malware inyecta un JavaScript malicioso en el sitio web. Todas estas operaciones son realizadas sin que el usuario lo note», explicó la firma de seguridad informática.
La distribución del ataque se realiza mediante campañas de spam a través del correo que se caracterizan por manipular el sistema simulando el accionar de un usuario, y además contienen como adjunto un downloader JavaScript de una familia conocida como Nemucod.
El malware no interactúa en ningún punto con el navegador a nivel de procesador, por lo que no requiere de privilegios especiales y anula cualquier fortalecimiento del navegador por parte de terceros; que generalmente se enfocan en métodos de inyección convencionales.
Otra ventaja para los atacantes, advierte ESET, es que el código no depende ni de la arquitectura del navegador ni de su versión, y que un único patrón de código funciona para todos los navegadores.
«Una vez identificadas, el banker implementa un script específico para cada banco, ya que cada sitio bancario es diferente y presenta un código fuente distinto. Estos scripts son inyectados en páginas en las que el malware identifica una solicitud de inicio de transferencia bancaria, como el pago de una cuenta».
De esta manera, el script inyectado de manera secreta reemplaza el número de cuenta del destinatario con uno diferente y cuando la víctima decide enviar la transferencia bancaria, el dinero será enviado en su lugar al atacante.
«Cualquier medida de seguridad contra pagos no autorizados, tales como doble factor de autorización, no será de ayuda en este caso dado que el propietario de cuenta está enviando la transferencia voluntariamente. Los números de cuentas bancarias maliciosas cambian de manera muy frecuente, y prácticamente todas las campañas tienen uno nuevo».
Una característica especial de este malware es que sólo robará dinero si el monto de la transferencia bancaria está dentro de cierto rango –generalmente se eligieron como blanco pagos que estén entre los mil 800 y los mil 600 dólares.
El script reemplaza la cuenta bancaria receptora original y también reemplaza el campo de entrada para esos números con uno falso que muestra la cuenta bancaria original, para que de esta manera el usuario vea el número válido y no sospeche de nada.
En opinión de Camilo Gutierrez, jefe del Laboratorio de Investigación de ESET Latinoamérica, este hallazgo muestra que en el transcurso de la batalla entre la industria de seguridad y los autores de malware bancario, las nuevas técnicas maliciosas no necesitan ser altamente sofisticadas para ser efectivas.
«Pensamos que en la medida de que los navegadores estén más protegidos ante la inyección de códigos convencionales, los autores de malware atacarán los navegadores de diferentes formas. En este sentido, Win32/BackSwap.A simplemente nos mostró una de las posibilidades”.
C$T-GM