Investigación de Telefónica Empresas revela cómo sofisticado malware bancario ha operado en Chile
Como un troyano bancario mejorado y evolucionado. Así describen los expertos del Centro de Operaciones de Seguridad (SOC) de Telefónica Chile a “N40 Botnet”. Se trata de un nuevo malware descubierto recientemente, a través de una investigación que devela una serie de técnicas utilizadas para eludir controles de seguridad.
¿Qué es “N40”? Corresponde a un malware con origen en Brasil, que utiliza una nueva técnica para eludir el filtro de reputación SmartScreen -sistema de seguridad de Windows para la detección de sitios web o descargas nocivas- evitando así la detección por parte del sistema operativo.
El objetivo: Una vez que el equipo se encuentra comprometido, obtener contraseñas, números y otros datos de cuentas bancarias, para sustraer dinero electrónico de sus víctimas.
Como parte del hallazgo, se determinó que, tan sólo en Chile, el malware infectó a un promedio de 100 equipos diarios.
La importancia del hallazgo
Al respecto, Luis Urzúa, gerente de Operaciones de Telefónica Empresas, señaló que “los resultados del análisis fueron muy interesantes y esto nos permite conocer en mayor profundidad cómo están evolucionando los ciberdelincuentes para evitar ser detectados, a través de técnicas muy avanzadas que permiten vulnerar controles de analistas y antivirus para lograr su cometido”, añadió el ejecutivo.
Tras el hallazgo, la compañía –de acuerdo a sus protocolos de actuación- reportó inmediatamente sobre este malware a la Policía de Investigaciones (PDI). Y junto a ello, desarrolló los bloqueos respectivos para proteger a sus clientes empresas de esta amenaza.
Dada su relevancia, este descubrimiento ha sido destacado en sitios especializados en ciberseguridad. Además, sus complejas características de acción y funcionalidades, hacen de este un caso poco común dentro de los análisis de seguridad.
El paso a paso de “N40”
¿Cómo se propaga?: A través de correo electrónico, el atacante utiliza la imagen de distintas instituciones públicas y privadas, con archivo adjunto, o bien con un enlace de descarga que contiene un archivo JavaScript ofuscado. Este código JavaScript, a su vez, es el encargado de descargar un archivo ejecutable y una DLL, es decir, una librería de enlace dinámico que contiene funciones y/o recursos que hacen posible la utilización de las aplicaciones que tenemos instaladas en el PC. Con ello, el equipo de la víctima ya se encuentra infectado.
Troyano inteligente: Una vez en el equipo, el malware utiliza distintos mecanismos para evadir los controles de seguridad. Entre ellas, la utilización de DLL firmadas (DLL Hijacking) con certificados vendidos en el mercado negro de empresas del Reino Unido, como también la utilización de un launcher –o lanzador- vulnerable de un sistema de virtualización (VMware).
A prueba de antivirus y otras barreras: Gracias al punto anterior, el troyano permite eludir tanto las firmas de antivirus como el filtro de reputación SmartScreen (sistema de seguridad de Windows), haciendo mucho más difícil de detectar la potencial infección. Es más, este troyano se dedica a analizar el software antivirus de la víctima y los sistemas de seguridad instalados, para poder comportarse, estratégicamente, de distinta manera.
Concretando su actuar: El malware está continuamente revisando el portapapeles de la víctima. Si se detecta una dirección de cuenta de Bitcoin, la sustituye rápidamente por la dirección del atacante, con el objetivo de redireccionar las transferencias hacia la billetera virtual del ciberdelincuente. De esta manera, el malware espera que el usuario confíe en la acción del portapapeles y confirme la transacción. Por otro lado, ejecuta ventanas en el navegador de la víctima, solicitado claves de doble factor de autenticación o tarjetas de coordenadas de los bancos.
5 claves para tener en cuenta al recibir correos
Tal como lo señala Luis Urzúa, nunca estaremos 100% protegidos ante ciberamenazas. Es por esto que siempre será útil tener en cuenta las siguientes claves para protegernos ante este tipo de amenazas, cuya distribución se realiza a través de correo electrónico:
Chequear el remitente: en caso de tratarse de un remitente conocido, compruebe que se trata de su dirección real de correo; y si se trata de un correo de remitente desconocido,verifique que la dirección del correo coincida con la del sitio web real de la empresa de origen.
Atención a la redacción del correo: desconfíe de correos que ocupan un encabezado genérico como “Estimado Cliente” y compruebe si hay errores de ortografía o gramática en los mensajes. Estos suelen ser indicios que de que se trata de un mensaje falso.
Revisar las URL: pose el cursor (sin hacer clic) sobre los vínculos incluidos en los mensajes para comprobar si la URL se ha escrito correctamente. A menudo los delincuentes digitales crean sitios falsos en direcciones habituales, pero mal escritas.
Verificar los archivos adjuntos: ponga atención a correos que contengan archivos adjuntos que no hayan sido solicitados o con origen desconocido, y evite su descarga.
No entregar datos personales: en ningún caso envíe datos personales a través de correo electrónico o mensajería (SMS, WhatsApp o aplicaciones similares). También debe tener mucho cuidado con la información que entrega por teléfono, especialmente si lo han llamado y hay otras personas cerca que puedan estar escuchando.
