Nuevas campañas de troyanos bancarios sudamericanos

Recientes investigaciones han podido identificar nuevas campañas de phishing que estarían intentando obtener credenciales de acceso a los servicios de banca en línea en instituciones financieras que operan en España, México, Portugal y América Latina.

Estas campañas han sido atribuidas principalmente a las ya conocidas familias de malware bancario como Amavaldo, Grandoreiro y Mekotio. Sin embargo, en esta nueva ola de amenazas, se han sumado ciberactores que registran actividad desde comienzos de año, tales como Ugly Dolphin, Casbaneiro y Vadokrist.

Nuevas campañas detectadas

Casbaneiro

Evidenciada nueva campaña maliciosa que propaga el troyano bancario Casbaneiro dirigida a usuarios de México. 

Casbaneiro en una de las familias de malware bancario que registra mayor actividad en Latinoamérica en los últimos años y esta campaña además intenta recopilar direcciones de correo y robar credenciales de acceso.

La distribución del malware en este caso se realiza a través de correos que se hacen pasar por comunicaciones legítimas de un reconocido banco internacional para intentar engañar a sus víctimas. El mensaje hace referencia a una supuesta transferencia monetaria realizada mediante el Sistema de Pagos Electrónicos Interbancarios (SPEI), un sistema de pago en línea utilizado en México.

Falso correo que suplanta la identidad de una reconocida entidad bancaria utilizado para la propagación del malware.

El correo electrónico incluye un archivo HTML adjunto como imagen llamado “COMPROBANTE_SPEI_161220.html”, que únicamente contiene la etiqueta “meta” para direccionar al usuario hacia un sitio de descargas.

La página a la cual se direcciona intenta suplantar la imagen de una plataforma de facturación electrónica con el propósito de engañar a los usuarios. Sin embargo, al revisar elementos como la dirección URL se observa que no se corresponde con la dirección del sitio legítimo.

Vadokrist

Vadokrist es un troyano bancario que ha estado presente desde el 2018 y que está activo casi exclusivamente en Brasil. Comparte varias funcionalidades importantes con otras de las familias de troyanos bancarios como Amavaldo, Casbaneiro, Grandoreiro y Mekotio. 

• Está escrito en Delphi.
• Cuenta con funcionalidad de backdoor.
• Se dirige a instituciones financieras.
• Su principal desviación de la implementación típica es que no recopila información sobre las víctimas justo después de comprometer con éxito sus máquinas.

Los correos de spam recientes que distribuyen Vadokrist contienen dos archivos ZIP anidados que contienen dos archivos: un instalador MSI y un archivo CAB. Si una víctima ejecuta el instalador MSI, localiza el archivo CAB y extrae su contenido (un loader MSI) en el disco. Luego ejecuta un archivo JavaScript embebido que agrega una entrada de Run key, asegurándose de que el loader MSI se ejecute al iniciar el sistema.

Ugly Dolphin

Ugly Dolphin es un actor de amenazas maliciosas que se dirige a los servicios bancarios en línea de los usuarios en España y América Latina. El modus operandi del actor de amenazas, así como las herramientas que emplean, coinciden con el perfil de muchos actores de amenazas brasileños. El objetivo de este actor es robar dinero de los servicios de banca online de los usuarios.

Modus Operandi:

• La distribución se realiza vía spam, pretendiendo ser facturas electrónicas.
• Utiliza Temas con nombres de archivo e íconos de archivo como:
  • Factur98793400583a-Electronica.exe.
  • Factura-E1014458505532-2907.exe.
• Evidenciado utilizando dos familias de malware:
  • W32 / Banload
  • W32 / Banker
• Utilización de malware escritos en Delphi.
• Utilización de icono ejecutable que pretende ser un documento PDF, de acuerdo con lo que se menciona en el correo electrónico.
• Uso de nombres de dominio relacionados con la emisión de facturas:
  • e-facturaciones [.] Com
  • facturacionfiscales [.] Com.
• El malware final se almacena en servicios WEB públicos como Dropbox o Mediafire.
• Se comprime con contraseña y su tamaño descomprimido es bastante grande.
• El ataque, en su última parte, requiere un alto nivel de intervención manual por parte del actor: el atacante debe acceder a la cuenta bancaria del usuario mientras la utiliza.
• Principalmente dirigido a usuarios y bancos de habla hispana, pero también a algunas entidades brasileñas.

Campañas evidenciadas

Factura falsa de Goldenergy (Empresa del rubro eléctrico en Portugal).

Una campaña con correos electrónicos que pretenden ser una factura de Goldenergy (Portugal). La empresa, desde el inicio de esta campaña ha alertado a sus usuarios a través de su sitio web.

Alerta Phishing con uso abusivo de marca Goldenergy

Tambien ha sido evidenciado usando Facturas electrónicas falsas de distintas empresas como Naturgy, Allianz, Endesa, Lucera, Mapfre o Telefónica.

Panorama

Tras el término de año y el comienzo de este 2021, se han detectado nuevas campañas de troyanos bancarios provenientes de Brasil. Los ciberactores detrás de estos malware llevan mucho tiempo robando credenciales bancarias de usuarios de varios países y parece que el número de víctimas sigue siendo lo suficientemente interesante como para continuar con este tipo de acciones delictivas. Por tanto, la formación y la concienciación es la mejor forma de prevenir los ataques de phishing. En base a esto, las organizaciones deben permanecer atentas y adaptar sus estrategias en respuesta a estas amenazas.

Amenaza más probable:

Expansión de las amenazas bancarias a diversos países en América Latina, con campañas dirigidas a cada nación, evidenciando un incremento en correos de phishing de las instituciones bancarias de Chile y el resto de países sudamericanos.

Amenaza más peligrosa:

Que debido a la motivación financiera que sustenta las operaciones de estos ciber actores de amenazas, expandan sus campañas para comprometer empresas a través de phishing logrando así, ejecutar variantes de Ransomware-as-a-Service para obtener mayores ganancias con su actuar delictual.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.