(España) Un virus roba las contraseñas a clientes de bancos españoles. ¿Cómo evitarlo?

Se llama Trickbot, roba las credenciales bancarias de sus víctimas y diversas entidades españolas están en su lista de objetivos. De momento, y que se sepa, las entidades afectadas son Banc Sabadell, Kutxabank, Bancofar, Caja Sur, Caja Ingenieros y Ruralvía, pero la lista podría ampliarse en breve. Representantes de al menos tres de los bancos afectados aseguran haber sido víctimas de este intento de ataque aunque, de momento, afirman no haber detectado robos provocados por este nuevo ‘malware’.

Fernando Díaz, analista de la consultora Hispasec, ha sido el primero en ‘cazar’ una muestra de Trickbot programada para atacar bancos españoles. “Cayó en nuestra red de sensores”, explica. Trickbot es un troyano bancario cuya existencia se conoce desde el año pasado. Fue visto por primera vez en Australia y en poco tiempo se ha extendido por todo el mundo.

Trickbot viaja mayoritariamente en correos electrónicos que simulan ser una factura, denuncia, deuda o lo que sea que pegue un buen susto a la persona que lo recibe y la lleve a abrir, deprisa y sin pensar, el documento Word o Excel adjuntos. La muestra que encontró Fernando Díaz venía en un ‘mail’ escrito en inglés, con una falsa querella comercial adjunta. Posiblemente procedía de la reciente campaña de Trickbot en Reino Unido, pero se le habían añadido los bancos españoles en su lista de víctimas.

El ‘email’ se presenta como “una supuesta queja realizada sobre nuestra empresa por esta entidad”. Esto demuestra el interés por robar a empresas

Josep Albors, director de Investigación y Concienciación de ESET España, explica cómo funciona. “Los delincuentes se hacen pasar por el registro de empresas del Reino Unido, una entidad dependiente del Departamento de Comercio, Energía e Industrias estratégicas de ese país”. El ‘email’ se presenta como “una supuesta queja realizada sobre nuestra empresa por esta entidad”. Esto demuestra el interés del troyano por robar a empresas, con cuentas siempre más abultadas que los particulares.
Trickbot, hijo de Dyre

Y es que Trickbot podría pasar por un troyano bancario normal, como las decenas de miles que pululan por el ciberespacio, pero no tiene nada de inocente: su código se parece mucho al de Dyre, hoy desactivado y considerado el segundo troyano bancario más peligroso del mundo en sus tiempos, entre 2014 y 2015.

La banda rusa que lo operaba y que fue detenida a finales de 2015 robó decenas de millones de dólares y llegó a atacar a un millar de entidades bancarias como Bank of America, Citibank, JP Morgan Chase o Wells Fargo. En verano de 2015 se añadieron a esta lista 17 entidades españolas, lo que hizo saltar muchas alarmas en nuestro país. Según ‘Forbes’, Dyre fue responsable de una cuarta parte de todo el cibercrimen financiero de 2015.

Trickbot nació en 2016 y de momento ‘solo’ ha atacado a 76 entidades en todo el mundo, pero apunta maneras como ‘hijo’ de Dyre. “Detrás de su desarrollo podría estar el desarrollador de Dyre, lo que aporta cierta experiencia a esta nueva familia”, afirman desde el laboratorio de ‘malware’ de S2 Grupo.

Otra similitud entre Trickbot y Dyre es que ambos usan ‘routers’ (en el caso de Trickbot, de la marca Mikrotik) y dispositivos de la internet de las cosas, como cámaras web, previamente ‘hackeados’, a modo de centros de control de los virus. “Esto hace más difícil que puedan cerrarles la infraestructura”, explica Fernando Díaz.

Por el momento, Banc Sabadell y Kutxabank reconocen haber sido atacados, pero afirman no tener a clientes afectados

Desde estos dispositivos ‘hackeados’, los atacantes pueden mandar nuevos módulos a los virus, una característica también heredada de Dyre. Los módulos les dan un gran poder, pues ya no es necesario infectar otra vez a la víctima para añadir nuevas funcionalidades al virus, basta con instalarle un módulo, por ejemplo para robar determinados datos, desde el centro de control.

Pero, además, como explica S2 Grupo es su informe ‘Evolución de Trickbot’, no solo se pueden añadir nuevas características al virus gracias a los módulos, sino que es posible cambiarlo totalmente, que deje de ser un troyano bancario y se convierta, por ejemplo, en un ‘ransowmare’.
No actives los macros

Cosas como esta han puesto en alerta a los investigadores. “A nivel de código, está hecho bastante bien, casi profesional”, explica Díaz. En S2 Grupo preocupa además que se extiende como la pólvora. “Ha llegado a la versión 17 en menos de seis meses, se desarrolla a una gran velocidad”. José Rosell, socio-director del grupo, lo tiene claro: “En poco tiempo, Trickbot puede convertirse en una de las mayores ciberamenazas de los usuarios de la red”.

Por el momento, Banc Sabadell, Kutxabank y Bancofar afirman no tener a clientes afectados. Las dos primeras entidades han explicado a Teknautas que ya tenían detectada la amenaza, gracias a sus equipos de especialistas. Y, explican desde Kutxabank, “dado que el ‘phishing’ no se puede evitar, trabajamos en medidas de autenticación para evitar que tenga éxito”.

Juan Valdés, director de comunicación externa de Banc Sabadell, añade: “En su día ya comprobamos que las medidas de seguridad que tenemos desplegadas protegen a nuestros clientes ante este troyano”. Y recuerda que “la mayoría de entidades financieras disponemos de múltiples niveles de seguridad para proteger a los clientes, incluso en el caso extremo de que les fueran robadas sus claves de acceso y firma”.

Evitar a Trickbot no es tan difícil. Dado que el virus solo infecta si activamos las macros del documento adjunto que nos llega por correo, la solución es tan simple como, dice Albors, “concienciarnos de una vez por todas de la necesidad de no activar la ejecución de macros salvo que sea estrictamente necesario y de revisar todos los correos que parezcan tener carácter urgente las veces que sea necesario”.

Así se cuela Trickbot en tu ordenador

Cuando Trickbot entra en un ordenador, en realidad solo entra una parte de él. Rápidamente manda un comando al centro de control para descargar el resto de ficheros. Cuando ya está instalado, se esconde tras una tarea del sistema que se ejecute constantemente, para que no se vea que hay algo más funcionando sin descanso. Usa además otras técnicas para no ser detectado.

Después de asegurarse la supervivencia oculta en el sistema, descarga diversos módulos del centro de control para completar sus funciones de ladrón de contraseñas. Inyecta un código en el navegador o navegadores que le servirá para vigilar los movimientos de la víctima. Si esta visita su banco, el virus se activará para copiar las credenciales que introduzca.

Trickbot detecta que la víctima está en el banco porque tiene una lista de direcciones URL de las entidades bancarias que le interesan. Solo debe cotejarlas, y cuando una URL coincide, se pone en marcha. Es en esta lista donde Fernando Díaz descubrió que había URL de entidades bancarias españolas. En la lista no están entidades más grandes porque, según Díaz, “probablemente está haciendo pruebas, viendo si es un objetivo que merezca la pena, y para ello intenta hacer el menor ruido posible”.

Trickbot no ataca solo a cajas y bancos. Se fija también en las pasarelas de pagos de entidades conocidas, como PayPal, explica el analista de Hispasec: “De esta manera puede asegurarse que conseguirá datos de tarjetas incluso si el usuario no pasa por la web del banco, sino en cualquier compra o trámite que incluya a estas entidades”.

http://www.loqueseoculta.informe25.com/2017/07/espana-un-virus-roba-las-contrasenas.html

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Blog de WordPress.com.

Subir ↑

A %d blogueros les gusta esto: