Nuevos caballos troyanos bancarios ganan polacos

Ilustración de Andrew Bannecker Los criminales hoy pueden secuestrar sesiones activas de banca en línea, y los nuevos troyanos pueden falsificar el saldo de la cuenta para evitar que las víctimas vean que están siendo defraudados.

Tradicionalmente, tal malware robó nombres de usuario y contraseñas para bancos específicos; pero el criminal tuvo que acceder manualmente a la cuenta comprometida para retirar fondos. Para detener esos ataques, los servicios financieros desarrollaron métodos de autenticación como la identificación del dispositivo, la geolocalización y preguntas desafiantes.

Desafortunadamente, los delincuentes que enfrentan esos obstáculos también se han vuelto más inteligentes. Un caballo de Troya, URLzone, es tan avanzado que el proveedor de seguridad Finjan lo ve como un programa de próxima generación.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Mayor sofisticación

Los ataques bancarios de hoy son mucho más sigiloso y ocurre en tiempo real. A diferencia de los registradores de pulsaciones de teclas, que simplemente vuelven a conectar las teclas, URLzone permite a los delincuentes iniciar sesión, proporcionar la autenticación necesaria y secuestrar la sesión falsificando las páginas del banco. Los ataques se conocen como ataques de hombre en el medio porque la víctima y el atacante acceden a la cuenta al mismo tiempo, y una víctima puede no notar nada fuera de lo común con su cuenta.

Según Finjan, un sofisticado proceso de URLzone permite a los delincuentes preestablecer el porcentaje de la cuenta bancaria de la víctima; De esta forma, la actividad no afectará las alertas de fraude incorporadas de una institución financiera. En agosto pasado, Finjan documentó un robo en URLzone de $ 17,500 por día durante 22 días de varios titulares de cuentas bancarias alemanas, muchos de los cuales no tenían idea de lo que estaba sucediendo.

Pero URLzone va un paso más allá de la mayoría de las botnets bancarias o Troyanos, dice el equipo antifraude de RSA. Los delincuentes que utilizan caballos de Troya bancarios generalmente toman el dinero y lo transfieren de la cuenta de la víctima a varias "mulas", es decir, personas que realizan un recorte y transfieren el resto del dinero al extranjero, a menudo en forma de bienes enviados a direcciones extranjeras.

URLzone también parece detectar cuándo se está viendo: cuando los investigadores de RSA intentaron documentar cómo funciona URLzone, el malware transfirió dinero a mulas falsas (a menudo partes legítimas), frustrando así la investigación.

Silentbanker y Zeus

Silentbanker, que apareció hace tres años, fue uno de los primeros programas de malware en utilizar un sitio de phishing. Cuando las víctimas visitaron el sitio bancario falso de los ladrones, Silentbanker instaló malware en sus PC sin activar ninguna alarma. Silentbanker también capturó capturas de pantalla de cuentas bancarias, redirigió a usuarios de sitios legítimos y alteró páginas HTML.

Zeus (también conocido como Prg Banking Trojan y Zbot) es una botnet bancaria que se enfoca en cuentas bancarias comerciales. Según el proveedor de seguridad SecureWorks, Zeus a menudo se enfoca en un banco específico. Fue uno de los primeros caballos de Troya de la banca en derrotar los procesos de autenticación al esperar hasta que la víctima iniciara sesión en una cuenta con éxito. Luego se hace pasar por el banco e inyecta discretamente una solicitud de un número de Seguridad Social u otra información personal.

Zeus usa métodos tradicionales de phishing para infectar computadoras ya sea que la persona ingrese credenciales bancarias o no. Un reciente ataque relacionado con Zeus se presentó como un correo electrónico del IRS.

A diferencia de los caballos de Troya bancarios anteriores, sin embargo, la infección de Zeus es muy difícil de detectar porque cada víctima recibe una versión ligeramente diferente de ella.

Clampi

Clampi, una botnet bancaria similar a Zeus, permaneció inactiva durante años, pero recientemente se volvió bastante activa. De acuerdo con Joe Stewart, director de investigación de malware para SecureWorks, Clampi captura información de nombre de usuario y contraseña para alrededor de 4500 sitios financieros. Transmite esta información a sus servidores de comando y control; los delincuentes pueden usar los datos de inmediato para robar fondos o comprar bienes, o guardarlos para usarlos en el futuro. The Washington Post ha recopilado historias de varias víctimas de la botnet Clampi.

Clampi derrota la autenticación de usuario esperando a que la víctima inicie sesión en una cuenta bancaria. A continuación, muestra una pantalla que indica que el servidor del banco está temporalmente inactivo por mantenimiento. Cuando la víctima avanza, los delincuentes secuestran subrepticiamente la sesión bancaria aún activa y transfieren dinero de la cuenta.

Defender sus datos

Dado que la mayoría de estas infecciones de malware ocurren cuando las víctimas responden a un correo electrónico de phishing o navegue a un sitio comprometido, Stewart de SecureWorks recomienda limitar sus actividades bancarias a una máquina dedicada que solo usa para verificar sus saldos o pagar facturas.

Alternativamente, puede usar un sistema operativo gratuito, como Ubuntu Linux, que se inicia desde un CD o una unidad de almacenamiento en miniatura. Antes de realizar operaciones bancarias en línea, inicie Ubuntu y use el navegador incluido Firefox para acceder a su sitio bancario. La mayoría de los troyanos bancarios se ejecutan en Windows, por lo que el uso temporal de un sistema operativo que no es Windows los derrota, al igual que la banca a través del teléfono móvil.

Sin embargo, el paso clave es mantener su software antivirus al día; la mayoría de los programas de seguridad detectarán los nuevos troyanos bancarios. Los archivos de firmas de antivirus más antiguos pueden ser lentos para defender las PC contra los últimos ataques, pero las ediciones de 2010 tienen protección de firma basada en la nube para anular las amenazas al instante.