Los troyanos bancarios son un peligro constante para el sector financiero. Este tipo de malware tiene como objetivo robar la identidad de la víctima online para engañar a la entidad financiera y así sustraer el dinero de sus cuentas. En los últimos años hemos visto muchos ejemplos de esta modalidad de cibercrimen. El año pasado uno de los troyanos bancarios destacados fue BackSwap, que utiliza un abanico de técnicas avanzadas para sortear los controles de ciberseguridad.
Como muchos otros tipos de malware y de cibercrimen, los creadores de los troyanos bancarios buscan constantemente nuevas maneras de vulnerar la ciberseguridad de sus víctimas y robarles los datos, e incluso el dinero.
Metamorfo: el troyano bancario se extiende
Metamorfo es un troyano bancario que fue descubierto en abril de 2018. Al principio, su actividad se limitaba a Brasil, donde recopilaba información acerca de sus víctimas, incluidas capturas de pantalla e historial de navegación para robar el dinero de sus cuentas bancarias online. Ahora, en febrero de este año, investigadores de ciberseguridad han detectado campañas más extendidas de este troyano.
Este nuevo movimiento tiene como objetivo recabar numeraciones de tarjetas de crédito, detalles acerca de las finanzas y otra información personal. El troyano se ha detectado en clientes de más de 20 bancos online en Estados Unidos, Canadá, Chile, España, Brasil, México y Ecuador.
Un troyano con muchos trucos
Como tantas otras campañas maliciosas, Metamorfo empieza con el phishing. En este caso, el email dice contener información acerca de una factura, e invita al usuario a descargar un archivo .zip. Al descargar y ejecutar este archivo, Metamorfo puede empezar a funcionar en máquinas Windows.
Una vez instalado—y habiendo comprobado que no se está ejecutando en un sandbox o un entorno virtual—el malware efectúa un programa de ejecución de scrips de AutoIt. Este lenguaje de scripts está diseñado para automatizar la interfaz gráfica de usuario de Windows y para otros scripts generales, pero también se ha empleado en ataques de malware para sortear detecciones de sistemas de antivirus.
Cuando se está ejecutando en un sistema Windows comprometido, Metamorfo cierra cualquier navegador en uso y evita que cualquier nueva ventana de un navegador utilice el auto-relleno de formularios. De este modo, el malware obliga a la víctima a volver a introducir su nombre de usuario y contraseña. Esto permite al keylogger del malware recopilar esta información tan valiosa, que posteriormente se manda al servidor C2.
Para asegurarse de no desperdiciar ninguna oportunidad de recopilar estos datos, Metamorfo también cuenta con una funcionalidad que monitoriza 23 palabras clave relacionadas con los bancos afectados. De este modo, cuando la víctima acceda a los servicios de dicho banco, los atacantes pueden estar advertidos.
¿Cómo se puede prevenir Metamorfo?
El hecho de utilizar el correo electrónico como principal vector de ataque significa que lo primero que hay que hacer para evitar que Metamorfo cause daños económicos a la empresa es controlar el email. Para asegurarse de que ninguna amenaza pueda entrar en la organización a través de este vector, es vital concienciar a los empleados para que reconozcan los emails de phishing.
También es esencial contar con protecciones avanzadas. Panda Email Protection proporciona una protección multicapa contra todo tipo de spam y malware en tiempo real. La tecnología de escaneo avanzado se realiza desde la nube y permite una gestión simplificada de la seguridad, y que puede realizarse a cualquier hora y desde cualquier lugar con solo acceder a la consola web.
Aunque un correo electrónico no tenga ninguna indicación “típica” de phishing, pero levanta sospechas por el remitente, el asunto o cualquier otro indicador; sí , siempre conviene comprobar su contenido, sobre todo si se trata de trasferencias financieras.
Al final, como es extensible a la mayoría de problemas de ciberseguridad, los riesgos de los ataques por email se evitan con una combinación de factores humanos y tecnológicos: el sentido común y la formación de empleados para adquirir experiencia en prevención y detección de ataques, así como el uso de plataformas de ciberseguridad avanzadas que tengan las suficientes capacidades para alertar de peligros que hayamos podido pasar por alto.