El malware ataca directamente a clientes de instituciones bancarias brasileñas
Gran cantidad de clientes de diferentes bancos brasileños están siendo advertidos acerca de un malware conocido como CamuBot, oculto a simple vista y presentado a la víctima como un módulo de seguridad requerido para el usuario final proporcionado por su banco. El malware llega incluso a incluir logotipos de bancos que lo hacen parecer parte de una aplicación de seguridad real. En algunos casos, el malware también puede secuestrar contraseñas de un sólo uso utilizadas para la autenticación biométrica.
Especialistas en hacking ético encargados de analizar el comportamiento de este malware mencionan que CamuBot fue detectado por primera vez en agosto de 2018, durante un ataque dirigido contra clientes bancarios business class. El nombre de CamuBot se debe a su capacidad de camuflarse aparentando ser una aplicación legítima.
“Los hackers encargados de esta campaña están usando activamente CamuBot para dirigirse a empresas y organizaciones del sector público, utilizando una combinación de ingeniería social y tácticas de malware para eludir la autenticación fuerte y los controles de seguridad”, mencionaron los expertos en hacking ético en días recientes.
Se cree que la distribución del malware se realiza de forma muy individualizada; es posible que los hackers recopilen información sobre las potenciales víctimas de directorios locales, motores de búsqueda o redes sociales como LinkedIn para identificar a los posibles usuarios de credenciales de cuentas bancarias. Una vez que se define una víctima, los hackers se hacen pasar por empleados del banco, llamando por teléfono a la persona y solicitándole visitar una URL para verificar que su “módulo de seguridad” esté actualizado. El falso sitio de verificación indicará una “actualización requerida” para el supuesto software de seguridad. Por último, se solicita a la víctima cerrar todos los programas en ejecución, y descargar e instalar el software malicioso utilizando el perfil de administrador de Windows.
Junto con la descarga de la falsa aplicación bancaria, de forma sigilosa CamuBot comienza a ejecutarse en el equipo de la víctima. El nombre del archivo y la URL desde la que se descarga cambian en cada ataque.
Mientras el atacante habla por teléfono con la víctima, una pantalla emergente redirige a la víctima a un sitio de phishing fingiendo ser el portal en línea del banco, las víctimas reciben instrucciones de iniciar sesión en su cuenta a través del sitio falso. Una vez hecho esto, la víctima ha compartido sus credenciales bancarias con el atacante.
Eludiendo las medidas de protección con hardware/biométricas
Bajo algunas circunstancias, como la presencia de autenticación biométrica u otro hardware de autenticación conectado a la PC de la víctima, CamuBot aumenta la apuesta, pues el malware puede buscar e instalar un controlador para ese dispositivo de seguridad.
Para realizar este tipo de autenticación, los hackers aprovechan las características avanzadas del malware. CamuBot es capaz de crear nuevas reglas de firewall y antivirus para hacer pasar al malware como un programa confiable. Luego, la comunicación se establece con el atacante a través de un proxy basado en SSH. Posteriormente, el reenvío de puertos se habilita y usa en un túnel bidireccional de puertos de aplicaciones desde el dispositivo del cliente al servidor del atacante. Este túnel permite a los atacantes dirigir su propio tráfico a través de la máquina infectada y usar la dirección IP de la víctima cuando accede a la cuenta bancaria comprometida.
Especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética consideran que el modo de operación de CamuBot es más sofisticado que el de cualquier malware bancario común, lo que lo vuelve una amenaza mucho más seria para sus potenciales víctimas.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad