Recientemente fue detectada una nueva variante de malware llamada Amavaldo, dirigida contra usuarios de bancos especialmente en México y Brasil. Un exhaustivo análisis realizado por expertos en hacking ético de la firma de seguridad ESET identificó más de 10 nuevas familias de malware, detectando ataques en otros países de América Latina.
Según los especialistas, estos troyanos presentan características plenamente identificables; por ejemplo, están escritos en Delphi, incluyen funciones de backdoor y se valen del abuso de archivos y programas legítimos para completar el proceso de infección, además usan algunos algoritmos nunca antes vistos o vistos con poca frecuencia.
Par comenzar, los hackers usan un ejecutable de Windows que se presenta a la víctima como un instalador de software legítimo de la compañía; en realidad, esta herramienta sirve para descargar el malware Amavaldo. Acorde a los expertos en hacking ético, los operadores de la campaña también recurren al uso de tácticas de ingeniería social para que la víctima entregue los datos de una tarjeta de crédito.
Posteriormente, el troyano monitorea las ventanas activas en la computadora de la víctima en busca de actividad relacionada con instituciones bancarias. Si su búsqueda tiene éxito, el malware despliega una falsa ventana emergente que copia el contenido del sitio bancario legítimo, lo que puede derivar en robo de datos confidenciales.
En su investigación, los expertos de ESET mencionan que Amavaldo es un malware modular integrado por tres componentes distintos:
- Una copia de una aplicación legítima
- Un inyector
- Un troyano bancario cifrado
Cuando la víctima interactúa con el programa malicioso, se guarda todo el contenido del archivo ZIP en el disco duro del sistema comprometido. Entonces:
- El inyector es ejecutado vía DLL Side-Loading
- El inyector se auto inyecta en wmplayer.exe o iexplore.exe
- El inyector busca el troyano bancario cifrado (un archivo sin extensión cuyo nombre coincide con el del inyector DLL)
- Si tal archivo es encontrado, el inyector descifra y ejecuta el troyano bancario
Además de haber sido identificado como un malware modular, otra característica importante de Amavaldo es el uso de un esquema de cifrado personalizado. Los desarrolladores rellenaron el código del malware con cadenas basura que no tienen una función. Los especialistas en hacking ético crearon un falso código simplificado para encontrar la lógica del algoritmo. Esta rutina es empleada por el malware y por el programa de descarga, lo que representa una conducta poco usual.
Una vez que se completa el proceso de infección, Amavaldo procede a recopilar algunos detalles sobre el sistema comprometido, incluyendo:
- Datos de identificación del equipo de cómputo y sistema operativo
- Verificación de software de protección bancaria
- Ubicación de determinados archivos
Además, las características de backdoor en Amavaldo le permiten realizar algunas tareas maliciosas como:
- Tomar capturas de pantalla
- Interceptar fotos tomadas con la cámara web
- Descargar y ejecutar otros programas
- Actualización del malware
Los expertos en hacking ético afirman que, hasta hace un par de meses, el malware sólo había sido detectado en Brasil, hasta que en mayo de este año comenzaron los reportes sobre su aparición en México.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS) Amavaldo es sólo una de múltiples familias de malware de reciente desarrollo con la capacidad de extraer información confidencial, especialmente detalles bancarios. Es necesario que los usuarios permanezcan alertas ante cualquier intento de phishing, que es regularmente el primer acercamiento que establecen los hackers para obtener los recursos necesarios para comprometer un sistema objetivo.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
