El recientemente descubierto troyano CoreBot puede ahora robar credenciales bancarias e información personal. Al tratarse de una amenaza "modular", los cibercriminales detrás pueden ir agregándole nuevas funcionalidades que aumentan su potencial accionar malicioso y, según reporta SC Magazine, se encuentra activa in-the-wild –aunque todavía no causó mucho daño.
CoreBot pasó de ser una amenaza genérica dedicada al robo de información a ser un troyano bancario que tiene como blanco a 33 instituciones financieras en Estados Unidos, Canadá y el Reino Unido. Esto fue posible gracias a su diseño modular, compuesto por distintos módulos que constituyen funcionalidades maliciosas y se pueden ir agregando a la amenaza. Así lo explicaron investigadores de X-Force al descubrirlo.
El plugin principal que descarga es detectado por las soluciones de ESET como Win32/PSW.Agent.OAX.
Ahora, CoreBot tiene las siguientes características y capacidades:
- Hooks en navegadores como Internet Explorer, Firefox y Google Chrome
- Funciones genéricas de captura de formularios en tiempo real
- Módulo VNC para control remoto
- Ataques Man-In-The-Middle (MITM) para el secuestro de la sesión
- Ejecución de acciones ante el ingreso de ciertas URL (preconfigurado para atacar entidades bancarias)
- Mecanismo de webinjection propio
- Posibilidad de cargar webinjects sobre la marcha, desde un servidor remoto
Una vez instalado en el sistema, además de robar credenciales, utiliza técnicas de Ingenería Social para engañar a la víctima para que entregue su información personal y busca tomar el control de su sesión.
La incorporación de nuevas capacidades en CoreBot nos recuerda que la evolución de los troyanos bancarios es constante, con el objetivo de interceptar transacciones online y obtener rédito económico.
"En su empecinada búsqueda de ganancias económicas, los cibercriminales atacan directamente a donde los usuarios manejan su dinero, es decir, sus cuentas bancarias. Con el desarrollo de posibilidades para hacer todo tipo de transacciones por Internet, fue inevitable que pusieran su atención en tratar de vulnerar estos servicios", explicó Camilo Gutierrez, Security Researcher de ESET, al establecer el top 5 de amenazas dedicadas al robo de credenciales bancarias.
Resta ver cuáles serán los próximos pasos de los creadores de CoreBot y, por supuesto, protegerse con una solución de seguridad que detecte amenazas de este tipo y proteja las transacciones en línea.