Nueva campaña Malware bancario “Amavaldo”

Brasil, importante generador de malware bancario, evidencia una nueva plaga de robo de credenciales y tokens bancarios atribuida a Amavaldo, un miembro más de la familia de troyanos bancarios que según datos de Kaspersky, comienza a extenderse al resto del mundo, principalmente en Europa, Asia y América del Norte. Es el cuarto software financiero malicioso de esta categoría que, luego de difundirse en Brasil, comienza a apuntar a otros países, siendo México y China sus principales objetivos.

Troyano Amavaldo

Amavaldo es un troyano bancario que comenzó a operar en Brasil el 2015 y, ahora, aprovecha que muchos bancos de brasil, también están presentes en países vecinos para expandir sus actividades y lograr así, recaudar fondos para los estafadores.

Los expertos de Kaspersky, señalan a Amavaldo como una amenaza extremadamente sofisticada, capaz de utilizar sitios web fraudulentos para robar información de acceso de clientes y tokens bancarios. Por lo general, El malware se distribuye a través de correos electrónicos y mensajes de phishing, especialmente aquellos que ofrecen actualizaciones de aplicaciones y software que se utilizan para acceder a la cuenta corriente y otras transacciones.

Características:

• Escrito en Delphi
• Contiene funcionalidades de backdoor y abusan de programas y herramientas legítimas para infectar a sus víctimas.
• Utiliza algoritmos criptográficos poco conocidos.
• Las versiones más nuevas se comunican a través de SecureBridge, una librería en Delphi que ofrece conexiones SSH/SSL.
• Amavaldo primero recopila información sobre la víctima que consiste en:
  • Identificación de la computadora y el SO
  • Qué tipo de protección bancaria tiene la víctima instalada.

Amavaldo utiliza una técnica inteligente al momento de lanzar el ataque a su víctima que es similar a lo que realiza Windows UAC. Luego de detectar una ventana relacionada a un banco, realiza una captura de pantalla del escritorio y hace que se vea como el nuevo fondo de pantalla. Luego despliega una falsa ventana emergente que es elegida en base al texto de la ventana activa mientras deshabilita múltiples atajos de teclado y previene que la víctima interactúe con cualquier cosa adicional que no sea la ventana emergente.

Para infectar a sus víctimas utilizan un único downloader, el cual consiste en un archivo ejecutable de Windows que muchas veces simula ser el instalador de un software legítimo. Además, hacen uso de técnicas de ingeniería social para lograr que la víctima lleve adelante una acción relacionada con su banco, como puede ser, por ejemplo, la verificación de los datos de una tarjeta de crédito. En este sentido, este tipo de troyano bancario monitorea las ventanas activas en el equipo de la víctima y en caso de que detecte una ventana relacionada con una entidad bancaria, el malware entra en acción desplegando una falsa ventana emergente que suplanta la identidad de dicha entidad bancaria para, por ejemplo, robar datos privados de la víctima.

Según los datos de Kaspersky, solo en 2020 se registraron más de tres mil ataques con Amavaldo. La mayoría de ellos ocurren en Brasil, siendo México el segundo lugar en detecciones en América Latina. Además, los expertos han detectado una alta actividad de malware en China, así como en Portugal, Canadá, Estados Unidos, India e Irán.

Panorama

Ya son varios los troyanos con origen en Latinoamérica que han dado el salto a otros países fuera de su región como es el caso de México. El análisis de otras familias de malware similar como Ursa o Mekotio demuestran que los delincuentes hace meses que añadieron a usuarios de otras nacionalidades entre sus principales objetivos.

En un aspecto aún más complejo, los expertos advierten de la posibilidad de que el malware Amavaldo pueda controlar de forma remota los equipos de sus víctimas, ya sea generando un comportamiento inapropiado o realmente espiando en tiempo real.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.