En su empecinada búsqueda de ganancias económicas, los cibercriminales atacan directamente a donde los usuarios manejan su dinero, es decir, sus cuentas bancarias. Con el desarrollo de posibilidades para hacer todo tipo de transacciones por Internet, fue inevitable que pusieran su atención en tratar de vulnerar estos servicios.

El abanico de amenazas que puede utilizar un atacante con este objetivo es bastante amplio: desde una sencilla campaña de correo electrónico que con un enlace que dirija a un sitio de phishing hasta diferentes familias de códigos maliciosos, con características particulares como el uso de Ingeniería Social, interceptación del tráfico de red o modificación del sistema, entre otras posibilidades.

Dentro de esta amplia variedad, los troyanos bancarios tienen un puesto principal por las facilidades que le ofrecen a un atacante, y algunos tienen características muy particulares.

A continuación veremos el top 5 de amenazas dedicadas al robo de credenciales bancarias:

1. La Ingeniería Social, punta de lanza

Cuando hablamos de códigos maliciosos del tipo troyano es inevitable no relacionarlos con técnicas de Ingeniería Social. En el caso de los bancarios, hay unas familias en particular que tienen una alta dosis.

La familia Win32/Spy.Bancos tiene la finalidad de robar credenciales bancarias de entidades financieras. Las variantes de esta familia son diferenciadas por los protocolos que utilizan para enviar los datos robados, como por ejemplo FTP o SMTP.

Cuando un usuario recibe una muestra de este tipo de código malicioso y lo ejecuta, se abrirá en su dispositivo una ventana muy similar a un navegador web en lo que parece ser la página de una entidad financiera.

Otras variantes de esta misma familia esperan que el usuario abra un navegador y quiera entrar a una página legítima de un banco para abrir este falso navegador. En este caso este falso navegador no permite al usuario acceder a otras páginas web ni realizar otras actividades diferentes a ingresar los datos en los formularios falsos.

banca_online

2. Modificaciones silenciosas del sistema

Hay otro tipo de amenazas bancarias que realizan cambios directamente sobre el sistema de manera “automática” cuando se inicia la computadora; de esta manera, el código malicioso logra realizar los cambios necesarios en el sistema para lograr su objetivo. Si bien hace un tiempo los atacantes dejaron de lado este tipo de metodología para afectar a los usuarios, todavía se siguen viendo detecciones de estos códigos maliciosos.

La familia de amenazas detectada por las soluciones de ESET como Win32/Qhost modifica el archivo hosts del sistema para realizar un ataque de pharming local, redirigiendo a la víctima a sitios de phishing. Cuando se ejecuta el troyano, se conecta a una dirección URL remota desde la que descarga un archivo de texto por el cual reemplaza al archivo original, forzando al usuario al caer en un servidor falso la próxima vez que intente acceder a la banca electrónica.

Otra familia de códigos maliciosos que modifican directamente el comportamiento de las aplicaciones en el sistema es Win32/Spy.Banker. Este código malicioso, en lugar de modificar el archivo host, inyecta código de manera dinámica en determinadas páginas web; en el momento en que el usuario acceda a las mismas, esta información se envía a una dirección de correo electrónico con los datos del usuario.

3. Troyanos para enmascarar la descarga de otras amenazas

Una de las características de los troyanos con mayor cantidad de detecciones actualmente es que no realizan la acción maliciosa directamente, sino que son utilizados para descargar al equipo de la vícitma la amenaza que roba las credenciales bancarias o que intercepta los datos de las transacciones comerciales.

Una de las familias que tienen este comportamiento es Win32/TrojanDownloader.Banload. Una vez que un usuario se ve infectado, realiza la descarga de otros códigos maliciosos que intentan robar las contraseñas de acceso a portales bancarios.

Este tipo de amenazas simulan ser diferentes tipos de archivos, dentro lo más comunes documentos de ofimática, archivos PDF o fotografías. Sin embargo, es común que tengan doble extensión y como muchas veces en el sistema operativo viene desactivada la opción de ver las extensiones de los archivos, suelen pasar inadvertidas -por lo general SCR o la menos común EXE.

troyano_enmascarado

4. Interceptación del tráfico de las transacciones

El objetivo de la familia de amenazas anterior es preparar el terreno para que se efectúe el robo de información del usuario, y así lograr que los cibercriminales obtengan datos de los usuarios. Hay otros troyanos que tienen esta misma característica, como por ejemplo la familia Win32/TrojanDownloader.Waski, utilizada para propagar otro troyano bancario detectado por las soluciones de ESET como Win32/Battdil.

Esta familia, también como conocida como Dyre, tiene la particularidad de vulnerar SSL haciéndole creer a los usuarios que están en un sitio web seguro y desviando todo el tráfico a servidores maliciosos para robar la información de la transacción.

5. Amenazas bancarias en Android y Windows de 64bits

Si bien la gran mayoría de amenazas que tratan de comprometer las transacciones bancarias las encontramos para Windows, de a poco hemos podido detectar un incremento en la aparición de familias enfocados en Android, así como en las últimas versiones de Windows.

Por ejemplo la familia Android/Spy.Banker busca robar credenciales bancarias. Cuando el usuario descarga este tipo de aplicaciones maliciosas, se solicitarán permisos de administrador y una vez que se active, se elimina el ícono del menú principal y no permitirá que el usuario la pueda desinstalar.

Además, la próxima vez que intente abrir Google Play para realizar la búsqueda de material interactivo, la siguiente pantalla irá a su encuentro peticionando las credenciales de su tarjeta de crédito.

Por otra parte, en 2011 fue creada la firma para detectar aquellas variantes que afectan a sistemas operativos de 64 bits. Si bien los niveles de detección de la familia Win64/Spy.Banker no se compara con las detecciones de su similar en 32 bits, es de esperarse que en la medida en que se masifique el uso de los sistemas operativos de 64 bits, crezcan estas detecciones y además veamos la aparición de nuevas familias y variantes.

Bonus track: botnets con módulos para robo de información bancaria

Adicional a todas las amenazas anteriores, vale la pena mencionar a las botnets como otra amenaza que puede comprometer la información en las transacciones bancarias. Botnets como SpyEye y Zeus están diseñadas con módulos que permiten robar información bancaria.

Si bien este tipo de códigos maliciosos les permiten a los atacantes llevar a cabo una gran cantidad de acciones sobre el equipo de la víctima, el robo de datos sensibles de transacciones financieras es lo que más rédito económico les puede generar.

Como podemos darnos cuenta, son variadas las alternativas que tiene un atacante para comprometer la información bancaria de un usuario. De ahí se desprende la necesidad de contar con una solución de seguridad que advierta cuando estamos frente a este tipo de amenazas.

Y como siempre, decimos esta protección debe complementarse con buenas prácticas al momento de estar navegando por Internet.