Un peligroso malware que roba información bancaria

El código de este malware ha existido por más de una década, aunque siempre hay un actor malicioso dispuesto a actualizarlo

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva variante de un viejo malware. Un conocido troyano bancario, surgido hace alrededor de 10 años, ha vuelto a emerger con nuevas técnicas que lo vuelven más difícil de detectar. Este malware busca principalmente información financiera de las víctimas, nombres de usuarios, contraseñas, entre otros datos.

Este troyano, conocido como Ursnif, es uno de los malware bancarios más conocidos y empleados para el robo de información. Es usado principalmente en equipos con sistema operativo Windows y su existencia es conocida al menos desde 2007, reportan los especialistas en seguridad en redes.

El malware ha tomado relevancia en tiempos recientes, pues su código fuente fue publicado en GitHub, con lo que se puso al alcance de cualquier usuario, independientemente de sus fines. Han sido principalmente los hackers maliciosos los interesados en acceder a código fuente y agregar nuevas funciones al malware.

Especialistas de una firma de seguridad en redes descubrieron recientemente una nueva versión de este troyano, dotada de nuevas técnicas de evasión de software antivirus. Entre las nuevas funciones incluidas en el malware, se encuentra la llamada “persistencia de última hora”,  para instalar la carga útil del malware sin que sea detectado.

“Este es un mecanismo inteligente y casi indetectable, el malware escribe su clave de persistencia justo antes de que el sistema sea apagado. Solo necesita unos pocos segundos para ser activado”, comentaron los especialistas. Cuando la víctima vuelve a iniciar su sistema, el troyano se ejecuta e inyecta para que se reduzcan al mínimo las posibilidades de que el sistema antivirus lo detecte.

El ataque puede comenzar usando emails de phishing para enviar un archivo adjunto a la víctima, una factura falsa, por ejemplo, solicitando a los usuarios que activen los macros. Si esto se consigue, se habilita un PowerShell que descarga una imagen alojada en una plataforma para compartir archivos. la carga útil es escondida en la imagen usando técnicas de estenografía.

Además de la persistencia de última hora, la nueva versión del malware incluye otras funciones que le permiten recolectar gran cantidad de información, como registros de correo electrónico y datos del navegador, lo que podría abrir la puerta a otras variantes de ataque.

Esta campaña de ataques parece estar activa principalmente en Japón y los bancos japoneses. incluso se ha descubierto que, si el malware detecta que una computadora no se encuentra en territorio japonés, se eliminará así mismo para evitar una mayor detección.

(Visited 393,1 times)