Los troyanos bancarios ya son moneda corriente: infectan a miles de usuarios en todo el mundo y ayudan a los ciberdelincuentes a obtener acceso ilegal a credenciales e información de cuentas bancarias. Pero para ello, a menudo requieren la ayuda de una gran variedad de otros programas maliciosos, tales como descargadores de troyanos, archivos de inyección Web, entre otros. En este artículo observaremos con más detalle los cuatro ejemplos de mayor gravedad.

Waski propaga el troyano Dyre

waski

Técnicamente, Waski no es un troyano bancario, sino más bien un programa malicioso que ayuda a descargar un troyano bancario en el equipo de la víctima. Es cada vez es más común en las regiones de habla inglesa, incluyendo los Estados Unidos, Canadá, Reino Unido, Australia, Nueva Zelanda e Irlanda, pero también se encontraron muchos casos en Alemania, Austria, Suiza e Italia, entre otros países.

Waski (detectado por ESET como Win32/TrojanDownloader.Waski) se descubrió a fines de 2013. Una vez ejecutado, descarga y propaga en el equipo un troyano bancario conocido como Dyre (o Win32/Battdil).

Su método para entrar en la máquina de la víctima implica el uso de ingeniería social y de un correo electrónico de phishing. El descargador se hace pasar, por ejemplo, por un archivo PDF con el ícono de Adobe. Sin embargo, su extensión de hecho revela que es un archivo ejecutable (EXE).

Cuando se inicia, Waski verifica la dirección IP del equipo afectado y luego crea un número de identificación único que envía al servidor de comando y control (C&C). El payload descargado aparece con el formato de otro archivo PDF (también con la extensión correcta), pero en este caso además contiene el troyano bancario.

En un equipo infectado, el troyano es capaz de interceptar las credenciales de una larga lista de sitios Web de instituciones financieras cuando el usuario accede a ellos a través de cualquiera de los principales navegadores Web, como Google Chrome, Mozilla Firefox e Internet Explorer.

Esto convierte a Waski en una herramienta muy útil en el arsenal de todo ciberdelincuente.

Los programas personalizables de inyección Web engañan a clientes bancarios

inyeccion

Desde hace bastante tiempo se vienen usando los kits de configuración de inyección Web en conjunto con los troyanos bancarios para alterar las páginas Web que ven las víctimas. En otras palabras, tratan de convencer al usuario de que lo que está viendo es legítimo, cuando en realidad es todo lo contrario.

El troyano asociado es capaz de inyectar un fragmento de código (por lo general en JavaScript) en el navegador de la víctima para interactuar con el contenido del sitio Web y realizar diversas acciones. Por lo general, los troyanos bancarios descargan algún tipo de archivo de configuración de inyección Web, que especifica el objetivo de ataque e incluye el contenido que deberá inyectar en la página Web de destino.

Sin embargo, en los últimos meses, hubo indicios de que los kits de inyección Web se comenzaron a usar cada vez más para consumo masivo, y sus precios disminuyeron considerablemente. Esta situación llevó a la creación de inyectores Web con nuevas funcionalidades y que se pueden personalizar.

Este tema fue tratado en detalle por el investigador de malware Jean-Ian Boutin de ESET, que dio la conferencia La evolución de la inyección Web en el evento 24º de Virus Bulletin, que tuvo lugar en Seattle el año pasado. Tras estudiar estos kits de inyección Web, Boubain descubrió que se estaban empleando para consumo masivo, es decir, indicaban el inicio de la ciberdelincuencia como servicio.

"Ya llevo estudiando los troyanos bancarios desde hace varios años y observé una cantidad realmente enorme de inyectores Web diferentes", escribió en un artículo hace un año. "Después de un tiempo, empezamos a encontrar patrones comunes en distintos inyectores Web, utilizados con diferentes troyanos bancarios. Detectamos casos de reutilización de fragmentos de código y paneles de administración, y descubrimos algunos vendedores que se estaban haciendo cada vez más populares en los foros clandestinos".

El malware CPL les permite a los criminales monitorear las sesiones bancarias online

cpl

Brasil es uno de los países más poblados del mundo y tiene una de las economías de más rápido crecimiento global. También es uno de los países con mayor porcentaje de usuarios de Internet que utilizan la banca online, por lo que, lamentablemente, lo convierte en un objetivo de ataque obvio para los cibercriminales y sus troyanos bancarios.

El malware de extensión CPL es particularmente común en este país. Su función general es engañar a los usuarios para que descarguen e instalen troyanos bancarios en los sistemas infectados.

El CPL, descrito por el analista de malware de ESET Matias Porolli y el director del laboratorio de investigación de ESET LATAM Pablo Ramos como algo que se encuentra "entre los troyanos bancarios y los correos electrónicos maliciosos" en su whitepaper, el malware CPL suele consistir en una mezcla de técnicas de ingeniería social y correos electrónicos de phishing.

El malware está incrustado en archivos ZIP enviados por correo y se descarga en la máquina cuando la víctima hace clic en él. Pero en lugar de descargar el archivo que pensaba que estaba recibiendo, el sistema en realidad comienza a ejecutar el archivo CPL. Llegado este punto, los cibercriminales pueden monitorear el acceso de la víctima a sitios bancarios, redirigirlos a sitios maliciosos o secuestrar la sesión bancaria. Luego pueden extraer la información de su cuenta.

La Operación Buhtrap emplea un descargador de troyanos empaquetado con NSIS

buhtrap

En abril, expertos en seguridad de ESET publicaron una investigación detallada sobre la familia de malware Operación Buhtrap; una campaña mediante la cual los cibercriminales espiaban a los usuarios rusos de Windows, y robaban información confidencial y de tarjetas inteligentes.

Mediante el aprovechamiento de vulnerabilidades de Word, los ciberdelincuentes enviaban spam a los destinatarios con facturas o contratos falsos de MegaFon (una importante empresa rusa de telefonía móvil) en un intento de atraer a las víctimas para que abrieran los archivos adjuntos maliciosos del correo electrónico.

El malware utilizado en la Operación Buhtrap emplea una combinación de herramientas listas para usar, descargadores de troyanos empaquetados con NSIS y spyware hecho a medida, que hace un uso indebido del software Punto de Yandex.

Las herramientas desplegadas en el equipo de la víctima les permiten a los ciberdelincuentes controlar y grabar en forma remota todas las acciones del usuario. El malware también les permite instalar un backdoor, obtener la contraseña de la cuenta del usuario e incluso crear una nueva cuenta. Además instala un registrador de pulsaciones del teclado (keylogger), un programa para copiar el contenido del portapapeles, un módulo de tarjetas inteligentes, y también tiene la capacidad de descargar y ejecutar malware adicional.

Troyanos bancarios: numerosos y peligrosos

Todos los ejemplos mencionados anteriormente ilustran la variedad de técnicas que los cibercriminales tienen a su disposición para el robo de datos bancarios, y también llama la atención sobre la gravedad del nuevo mercado de la ciberdelincuencia como servicio. Los troyanos bancarios, tanto los antiguos como los modernos, seguirán siendo utilizados para realizar una gran variedad de ataques, ya que el sector de servicios financieros (para nombrar el más evidente) es donde se encuentra el dinero y los datos confidenciales más lucrativos. Asegurarnos de que tengan el mínimo impacto posible constituye un constante desafío.