Análisis de malware

El malware bancario CamuBot destaca por su capacidad para eludir la autenticación biométrica

noviembre 1, por Admin

Hace unos días, los expertos en seguridad de IBM X-Force detectaron una nueva cepa de malware, rastreada con el nombre de CamuBot y dirigida a clientes de bancos brasileños. El código malicioso llamó inmediatamente la atención de los investigadores porque intenta eludir las protecciones biométricas de la cuenta.

La clandestinidad brasileña se caracteriza por su oferta de troyanos bancarios . Muchas formas de malware diseñadas por VXers brasileños se dirigen a usuarios bancarios internos e implementan varias técnicas para robar las credenciales de las víctimas. Brasil se ubica entre los primeros países del mundo en términos de fraude bancario en línea e infecciones de malware.

Los delincuentes detrás del malware CamuBot utilizan técnicas de ingeniería social para engañar a las víctimas. De hecho, el código malicioso se presenta como un módulo de seguridad proporcionado por un banco.

El nombre CamuBot proviene de la capacidad de camuflaje del malware. Los expertos han observado que la interfaz de usuario del módulo está diseñada con la apariencia del software bancario de la víctima.

Los investigadores de IBM X-Force detectaron la amenaza en agosto de cuando se utilizó en una campaña dirigida contra clientes bancarios de clase empresarial.

“CamuBot surgió en Brasil en agosto de en lo que parecían ser ataques dirigidos contra usuarios de banca empresarial. Según los hallazgos de X-Force, los operadores del malware lo están utilizando activamente para atacar a empresas y organizaciones del sector público, mezclando ingeniería social y tácticas de malware para eludir fuertes controles de autenticación y seguridad”, se lee en el análisis publicado por IBM .

CamuBot es bastante diferente del resto de malware del panorama de amenazas brasileño. Su código es completamente nuevo, no oculta su implementación y es más sofisticado que el malware de superposición remota comúnmente utilizado en esquemas de fraude dirigidos a usuarios en Brasil.

CamuBot no muestra a las víctimas con pantallas superpuestas falsas. En cambio, implementa el esquema de ataque utilizado por otro malware bancario como TrickBot, Dridex y QakBot.

“ CamuBot es más sofisticado que el tipo de malware de superposición remota comúnmente utilizado en esquemas de fraude dirigidos a usuarios en Brasil”, dicen los expertos.

«El método de fraude de CamuBot es una combinación de elementos diseñados para atraer a víctimas potenciales para que instalen el malware en su dispositivo y luego guiarlas para que, sin saberlo, autoricen una transacción fraudulenta».

Los operadores están apuntando activamente a empresas y organizaciones del sector público con una combinación de técnicas de ingeniería social y tácticas de malware para eludir fuertes mecanismos de autenticación y controles de seguridad implementados por los bancos objetivo.

Los atacantes primero llevan a cabo una fase de reconocimiento para recopilar información utilizada en el ataque. Los expertos creen que los operadores distribuyen el malware a través de técnicas específicas que aprovechan la información recopilada en la fase de reconocimiento (por ejemplo, datos de guías telefónicas locales, motores de búsqueda o redes sociales profesionales).

Una vez que los atacantes han elegido una víctima y han recopilado la información necesaria sobre ella, se acercan a ella mediante llamadas telefónicas. Los atacantes que se hacen pasar por soporte de TI del banco indican a las víctimas que visiten una URL específica para verificar que su “módulo de seguridad” esté actualizado.

Por supuesto, la verificación instará a la víctima a instalar la actualización falsa utilizada para propagar el malware. Luego, los atacantes indican a las víctimas que cierren todos los programas en ejecución y que descarguen e instalen el software malicioso utilizando el perfil de administrador de Windows.

Mientras el software falso con la apariencia del banco comienza a descargarse, el CamuBot se recupera y ejecuta en el dispositivo de la víctima.

El experto notó que los atacantes utilizaron un nombre de archivo diferente y una URL única para cada ataque.

1: Software malicioso que se hace pasar por un componente de seguridad legítimo

La comunicación con el dispositivo infectado la establece el malware a través de un proxy SOCKS basado en Secure Shell (SSH). La biblioteca de enlaces dinámicos del módulo SSH (“%TEMP%Renci.SshNet.dll”) es una herramienta gratuita que se obtuvo a través de GitHub.

“El módulo proxy está cargado y establece el reenvío de puertos. Esta característica se utiliza generalmente en un túnel bidireccional de puertos de aplicaciones desde el dispositivo del cliente al servidor”, continúa el análisis.

«En el caso de CamuBot, el túnel permite a los atacantes dirigir su propio tráfico a través de la máquina infectada y utilizar la dirección IP de la víctima al acceder a la cuenta bancaria comprometida».

La interacción entre los atacantes y la víctima es una característica clave del ataque CamuBot. Mientras el atacante habla por teléfono con la víctima, una pantalla emergente redirige a la víctima a un sitio de phishing que pretende ser un portal legítimo de banca en línea.

El sitio web falso se utiliza para recopilar las credenciales proporcionadas por las víctimas, a las que el atacante les indica que inicien sesión en su cuenta por teléfono.

Con este truco, los piratas informáticos pueden obtener las credenciales de las víctimas. Sin embargo, en algunos casos no son suficientes para hacerse cargo de la cuenta bancaria porque está protegida mediante autenticación biométrica u otro hardware de autenticación conectado a la PC de destino.

En este escenario, los autores de CamuBot han encontrado una manera de evitar la autenticación biométrica buscando e instalando el controlador para el dispositivo específico utilizado en el proceso de autenticación.

2: CamuBot busca e instala un controlador para un dispositivo conectado utilizado en el proceso de autenticación

Los piratas informáticos piden a la víctima que permita compartir el dispositivo de forma remota. De esta forma, los atacantes pueden interceptar contraseñas de un solo uso generadas para el proceso de autenticación.

«El túnel permite a los atacantes dirigir su propio tráfico a través de la máquina infectada y utilizar la dirección IP de la víctima cuando acceden a la cuenta bancaria comprometida», dicen los expertos.

«Con el código de un solo uso en la mano, los delincuentes pueden intentar una transacción fraudulenta , canalizándola a través de su dirección IP para que la sesión parezca legítima por parte del banco».

En el momento del análisis, el malware CamuBot solo apuntaba a clientes bancarios en Brasil, pero no podemos excluir la posibilidad de que los actores de la amenaza comiencen a utilizarlo para atacar a bancos de todo el mundo. Por supuesto, esto requerirá un esfuerzo importante para gestionar las llamadas telefónicas con víctimas en otros países.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

CamuBot: nuevo malware financiero dirigido a clientes bancarios brasileños , SecurityIntelligence