Que el principal objetivo de los cibercriminales es obtener ganancias económicas es algo conocido, pero el cómo lo hacen varía de acuerdo al objetivo, siendo las transacciones bancarias uno de los blancos predilectos. Debido a la variedad de amenazas con el objetivo particular de interceptarlas para obtener la información sensible que se intercambia, las soluciones de seguridad agrupan las diferentes variantes de códigos maliciosos que aparecen todos los días, clasificándolas por diversas características.
Por eso, a partir del top 5 de amenazas dedicadas al robo de credenciales bancarias, decidimos buscar un poco más de información para conocer cómo ha sido la evolución de algunas familias de códigos maliciosos que tratan de poner en riesgo las transacciones bancarias.
Botnets de 12 años que ahora roban credenciales bancarias
Las detecciones de los códigos maliciosos de la familia Win32/IRCBot empezaron en 2003. Este troyano con características de backdoor, que es controlado de forma remota a través del protocolo IRC, en los primeros años se propagaba a través de servicios de mensajería instantánea. Ya en 2009, se detectaban algunas familias con características de gusano que se propagaban a través de dispositivos USB, explotando vulnerabilidades.
Durante este año fueron detectadas algunas campañas de propagación que, utilizando un archivo de Word con macros descargaban la variante Win32/IRCBot.ASG. Este troyano se oculta dentro del sistema para informar al atacante de las acciones que se realizan en él, enviando información como usuario y contraseña de home banking, cuando se ingrese a la página de una entidad financiera.
Espías bancarios con más de una década de existencia
La firma Win32/Spy. Bancos apareció en 2004 para detectar las acciones maliciosas de una de las familias de troyanos enfocadas en robar información bancaria. Esta familia recolecta información sensible cuando el usuario navega por sitios web de entidades bancarias y luego intenta enviarla a una máquina remota. En 2010, algunas variantes utilizaban técnicas de compresión como UPX o MPRESS.
Otra de las amenazas que tienen cerca de diez años desde que aparecieron firmas particulares son las de la familia Win32/TrojanDownloader.Banload. Está relacionada con una de las campañas más grandes de CPL malware y troyanos bancarios en Brasil detectadas en los últimos años, y tiene una historia que se remonta a 2005.
Si bien ya en 2009 algunas variantes utilizaban UPX y estaban diseñadas para robar información sensible, no fue hasta 2013 y 2014 que recibimos y analizamos una gran cantidad de muestras de extensión CPL en nuestro Laboratorio de Investigación. El 82% correspondía a alguna variante de la familia Win32/TrojanDownloader.Banload, cuya acción principal consiste en instalar troyanos bancarios en los sistemas infectados.
Variedad de tecnologías para amenazas bancarias similares
Tal vez una de las cuestiones que dejan ver la gran variedad de amenazas que van apareciendo y que demuestran cómo los atacantes se adaptan a nuevas tecnologías para lograr mayor efectividad es la aparición de malware con actividades maliciosas similares. Por ejemplo de la familia TrojanDownloader.Banload, que en principio utilizaba archivos compilados para propagarse, y luego en 2008 utilizaba el intérprete de .NET para propagar nuevas amenazas.
De manera similar ocurre con otras familias de amenazas enfocadas en afectar las transacciones bancarias, siendo Spy.Banker una de las más representativas. Además de encontrar amenazas en .NET, han ido apareciendo otras variantes con comportamientos similares al descrito antes pero utilizando tecnologías como JavaScript o Visual Basic Script, siendo esta última una de las variantes con firma más reciente. Esto se condice con las tendencias de malware scripting que hemos visto en el último tiempo.
Por otra parte, encontramos cómo los atacantes empiezan a diversificar el tipo de plataformas. Por ejemplo, en Android, encontramos familias como Spy.Banker que monitorean las actividades en portales bancarios, el troyano Krysanec que suplanta aplicaciones móviles de entidades financieras, o Jagonca, que monitorea las aplicaciones desplegadas por el usuario, hasta que coincida con el nombre de una aplicación bancaria para robar datos sensibles.
Diversidad en el tipo de malware para afectar transacciones bancarias
Con los ejemplos anteriores es más que evidente cómo las amenazas van evolucionando, pero no son los únicos ejemplos de este tipo de amenazas.
De otras familias como Win32/Gataka se encontró evidencia de cómo la documentación en foros underground donde se podía encontrar la amenazas fue cambiando en la medida en que sus desarrolladores fueron agregando nuevas funcionalidades. Entre ellas se encontraban su capacidad de funcionar en todas las versiones de Windows (32 y 64 bit), no necesitar privilegios administrativos para ejecutarse y ofrecer varios plugins que facilitan el robo de información sensible a través de la inyección de código en el navegador web del host infectado.
Como usuarios, no podemos desconocer el hecho de que estas amenazas han ido evolucionando y que los atacantes las adaptan para hacerlas más efectivas y que afecten a una mayor cantidad de usuarios.
Sabiendo esto, no hay excusa para no tomar las medidas de protección adecuadas, dentro las cuales no debe faltar una solución de seguridad con capacidades de detección proactiva y mantener actualizadas todas las aplicaciones que utilizamos, especialmente los navegadores web y sus complementos.