martes, 30 de julio de 2019
Se dio a conocer un nuevo malware que ataca a cuentas de redes sociales y a cuentas bancarias. Viene de Brasil y ya llegó a la Argentina. Cómo funciona y cómo podés protegerte.
En los últimos días se dió a conocer un nuevo caso de malware orientado a comprometer la seguridad bancaria de sus víctimas.
Según pudieron recoger los expertos involucrados en la investigación se trata de una herramienta de acceso remoto (RAT), spyware, así como de robo de contraseñas, además de tener la capacidad de actuar como los troyanos bancarios.
A esta compleja pieza de malware multifuncional se la conoce como Guildma (que a su vez se cree que es una reeimplementación de otro malware llamado Astaroth). Fue descubierto por la firma Avast.
Fue confirmado que el software malicioso es de origen brasilero y que atacó a usuarios y servicios en Brasil e infectó solamente a computadoras operadas en portugués, pero el malware está ahora acechando a 130 bancos y otros 75 servicios en línea, como Netflix, Facebook, Amazon y Google Mail en todo el mundo, aunque se ha mantenido alejado de las computadoras operadas en inglés. Entre los nuevos países afectados está Incluída la Argentina.
Durante este año se detectaron más de 115.000 intentos de infección con esta pieza de software.
Las detecciones comenzaron a aumentar en mayo de 2019, alcanzando un máximo en junio de 2019 y manteniendo ese ritmo. En mayo los hackers expandieron su grupo de objetivos bancarios y también comenzaron a apuntar a otros 75 servicios web en todo el mundo. Hasta ese entonces, los investigadores lograron, a través de tareas informática forense, detectar que el malware no había salido de Brasil.
En la Argentina, se logró confirmar que el malware está apuntado a varias instituciones bancarias, a servicios de social media y webservices como así también sitios de e-commerce. Entre estos se destacan, según Avast: Banco Santander, Banco Galicia, BBVA Fránces, Macro, HSBC, Hipotecario, Supervielle y el sitio del procesador de pagos RedLink.
En lo que respecta a webservices y social media, el malware informático afecta a Facebook, Twitter, Instagram y a los gestores de correo de Google (Gmail), Yahoo, Hotmail y a las cuentas de Google.
Todos los módulos centrales están escritos en el entorno Borland Delphi y posiblemente basados otras tecnologías RAT de código abierto como Delphi Remote Access PC, AmigoRAT o PureRAT. El hecho de que estos servicios estén en la "base de datos" del malware significa que al infectar a un usuario, el software buscara detectar y registrar la información que provea el usuario por el uso de estos sitios ya que está programado para detectar sitios como santanderrio.com[.]ar o bancogalicia[.]com.
Sin embargo, según las fuentes consultadas, hasta el momento no se conocen casos de usuarios comprometidos. "Nuestras herramientas de seguridad ya lo tienen catalogado y estan en condiciones de detectarlo y frenarlo. Tampoco tenemos evidencias sobre que hayan clientes perjudicados por dicho malware", explico una fuente desde RedLink.
"De hecho, hoy día se utilizan esquemas de autenticación multifactor para minimizar el riesgo de perdidas a un cliente cuyo dispositivo resulte infectado", agregó.
Por su parte, Banco Galicia también reconoció la existencia de malware aunque aclaró que no se vio afectado. Y acotó que también están tomando "todas las medidas necesarias".
El primer paso es hacer lo que se conoce como targeted phishing. Se realizan campañas de mails falsos que incentivan a la víctima a realizar alguna acción que desee el cibercriminal.
Los correos son personalizados y se dirigen a sus víctimas por su nombre (de ahí que sean "targeted"). Los cibercriminales usan correos y datos personales que se obtienen de filtraciones previas o se compran en mercados negros de la web.
En los correos se adjunta un archivo ZIP, el cual contiene un archivo LNK malicioso, enviado a través de sitios web infectados o de botnets.
LNK es una extensión para archivos de acceso directo utilizado por Microsoft Windows para apuntar a un archivo ejecutable o una aplicación. Los archivos LNK se utilizan generalmente para crear accesos directos del menú de inicio y del escritorio. Muchos usuarios no muestran desconfianza ya que no se trata del archivo .EXE más comúnmente reconocido como un ejecutable.
Cuando un usuario abre el archivo malicioso LNK, este compromete la herramienta de la línea de Windows Management Instrumentation Command y discretamente descarga un archivo XSL (Extensible Stylesheet Language) malicioso.
Este archivo XSL descarga todos los módulos de Guildma y ejecuta un cargador de primera etapa que incluye todos los otros módulos de malware (todas las funciones, como recopilar contraseñas, leer lo que se escribe en el teclado, etcétera).
En ese momento, el malware se activa y aguarda las órdenes de un servidor de comando y control de interacciones específicas del usuario, como abrir un sitio web de uno de los servicios blanco de ataque. El malware se aprovecha de la tecnología BITSadmin de los sistemas operativos Windows (un sistema automatizable de admistración de archivos que se ejecuta "oculto" al usuario y puede recibir y ejecutar ordenes).
Incluso puede detectar sitios web de interés, como un homebanking, cerrar las ventas del navegador web y luego capturar los datos ingresados por el teclado cuando el usuario intenta loggearse de nuevo.
"Si un dispositivo es infectado con Guildma, los usuarios pueden experimentar una débil conexión de red, debido a que se envían capturas de pantalla a través de la Internet, se acapara la línea, o la computadora envía respuestas con retraso", explicó Avast, en un comunicado.
Las recomendaciones son no abrir correos de remitentes desconocidos y contactar por vías oficiales a los servicios cuando se recibe un correo inusual que pide la descarga de archivos o la ejecución de algún programa foráneo a la computadora del usuario.
El listado completo de posibles vectores de ataque:
Bancos
En Argentina:
bancodecomercio.com[.]ar
bancoprovincia
santanderrio.com[.]ar
bancogalicia[.]com
bbvafrances.com[.]ar
macro.com[.]ar
hsbc.com[.]ar
bancocredicoop[.]coop
bancopatagonia[.]com
privatebank.citibank[.]com
hipotecario.com[.]ar
bancor.com[.]ar
supervielle.com[.]ar
bancosantafe.com[.]ar
bancosanjuan[.]com
itau.com[.]ar
comafi.com[.]ar
bancodelapampa.com[.]ar
bse.com[.]ar
bancoentrerios.com[.]ar
bancochubut.com[.]ar
bancotucuman.com[.]ar
bancodecorrientes.com[.]ar
nbch.com[.]ar
bice.com[.]ar
bpn.com[.]ar
bancoformosa.com[.]ar
bancocolumbia.com[.]ar
bancopiano.com[.]ar
bancosantacruz[.]com
bancocmf.com[.]ar
mariva.com[.]ar
bst.com[.]ar
bancosaenz.com[.]ar
bancobic[.]ao
redlink.com[.]ar
Web email services
mail.live[.]com
outlook.live[.]com
login.live[.]com
email.uol[.]com.br
mail.uol[.]com.br
mail.yahoo[.]com
login.yahoo[.]com
mail.google[.]com
accounts.google[.]com
mail.terra[.]com.br
Social sites/media:
facebook[.]com
twitter[.]com
Instagram[.]com
netflix[.]com
E-commerce/e-shops:
aliexpress[.]com
amazon[.]com
ebay[.]com
ricardoeletro[.]com
walmart[.]com magazineluiza[.]com
Diversas urls:
uolhost[.]com
godaddy[.]com
gmx[.]com
ogin.r7[.]com
Fuente: Infotechnology
Recibí info GRATIS en tu correo
¡Suscribite ya!
33,00% TNA
30 días
32,00% TNA
“No reclames que te dan de baja”
MARCELOBAINES opinó sobre Banco Galicia el 26/02/20
“irresponsables”
jimenap1989 opinó sobre Banco Galicia el 05/02/20
“Cautivo de este banco, pesimo! Rosario.”
aluvion85 opinó sobre Nuevo Banco de Santa Fe el 19/01/20
“Cooperativismo en el capitalismo!”
aluvion85 opinó sobre Banco Credicoop el 19/01/20
“Cobro incorrecto con previa consulta hecha”
Cpach opinó sobre Banco Supervielle el 14/01/20
más opiniones