¿Quieres recibir notificaciones de alertas?

24°
29 de Marzo,  Jujuy, Argentina
PUBLICIDAD

Troyanos bancarios: ¿cuál es el escenario en América?

Viernes, 17 de diciembre de 2021 01:01

Por CAMILO GUTIÉRREZ AMAYA, Jefe del Laboratorio Eset.

Alcanzaste el límite de notas gratuitas
inicia sesión o regístrate.
Alcanzaste el límite de notas gratuitas
Nota exclusiva debe suscribirse para poder verla

Por CAMILO GUTIÉRREZ AMAYA, Jefe del Laboratorio Eset.

En agosto del 2019 Eset, compañía líder en detección proactiva de amenazas, comenzó a desarrollar una serie de artículos con el objetivo de desmitificar los troyanos bancarios latinoamericanos. Desde entonces, se han cubierto los más activos, como es el caso de Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban y Numando. Los troyanos bancarios de América Latina comparten muchas características y comportamientos, y estos vínculos en común han sido abordados en un whitepaper elaborado por Eset.

Hallazgos clave de la investigación: Los troyanos bancarios latinoamericanos son una amenaza continua y en evolución. Se dirigen principalmente a Brasil, España y México. Hay al menos ocho familias de malware diferentes que siguen activas al momento de esta publicación. Tres familias han quedado inactivas durante el transcurso de esta investigación. La gran mayoría se distribuye a través de correos de malspam, que suelen incluir un archivo ZIP o un instalador MSI.

Aparte de Amavaldo, que quedó inactivo cerca de noviembre de 2020, todas las demás familias siguen activas al día de hoy. Brasil continúa siendo el país más atacado por estas familias de troyanos, seguido por España y México. Desde 2020, Grandoreiro y Mekotio se expandieron a Europa, principalmente a España. Lo que comenzó como varias campañas menores, probablemente para probar el nuevo territorio, se convirtió en algo mucho más grande. De hecho, en agosto y septiembre de 2021 Grandoreiro lanzó su mayor campaña hasta la fecha, dirigida a España. Mientras que Grandoreiro sigue dominando en España, Ousaban y Casbaneiro han dominado Brasil en los últimos meses. Mispadu parece haber cambiado su enfoque casi exclusivamente a México, ocasionalmente acompañado por Casbaneiro y Grandoreiro.

Los troyanos bancarios latinoamericanos solían actualizarse con mucha frecuencia. Durante los primeros días de seguimiento, algunos de ellos añadían o modificaban sus características principales varias veces al mes. Hoy en día siguen cambiando con frecuencia, pero el núcleo parece permanecer casi intacto. Debido al desarrollo parcialmente estabilizado, se cree que ahora los operadores están centrados en mejorar la distribución. Las campañas que vemos siempre vienen en oleadas y más del 90% de ellas se distribuyen a través de malspam. Una campaña suele durar como mucho una semana. En el tercer y cuarto trimestre de 2021, se observó que Grandoreiro, Ousaban y Casbaneiro han aumentado enormemente su alcance en comparación con su anterior actividad.

Para lograr que sus ataques sean exitosos, los troyanos bancarios latinoamericanos requieren de muchas condiciones: Las potenciales víctimas tienen que seguir ciertos pasos necesarios para instalar el malware en sus equipos; las víctimas deben visitar uno de los sitios web que los atacantes tienen como objetivo e iniciar sesión en sus cuentas; los operadores deben reaccionar ante esta situación y ordenar manualmente al malware que muestre la ventana emergente falsa y tome el control de la máquina de la víctima; y las víctimas no deben sospechar de la actividad maliciosa y posiblemente incluso tienen que introducir un código de autenticación.

Teniendo en cuenta lo mencionado previamente, es difícil estimar el impacto de los troyanos bancarios sólo basándose en la telemetría. Sin embargo, en junio de este año fue posible hacerse una idea del impacto de estos troyanos cuando las fuerzas de seguridad españolas detuvieron a 16 personas relacionadas con Mekotio y Grandoreiro. En el informe que publicaron, la policía afirma que robaron casi 300.000 euros y que lograron bloquear transferencias por un total de 3,5 millones de euros.

Desde que los troyanos bancarios latinoamericanos se expandieron a Europa han recibido más atención, tanto de los investigadores como de las fuerzas policiales. En los últimos meses se han visto algunas de sus mayores campañas hasta la fecha. Además, es posible que veamos cómo algunos de estos troyanos bancarios se expanden a la plataforma Android.

Sin embargo, como seguimos observando que los desarrolladores mejoran activamente sus binarios Delphi, se cree que no abandonarán su arsenal actual.

El descubrimiento más significativo en el curso de nuestra investigación es probablemente la expansión de Mekotio y Grandoreiro a Europa. Además de España, hemos observado pequeñas campañas dirigidas a Italia, Francia y Bélgica. Creemos que estos troyanos bancarios seguirán probando nuevos territorios para su futura expansión.