Investigadores encuentran malware dirigido a software de comercio de acciones en línea

Investigadores de seguridad de la empresa rusa de investigación de delitos cibernéticos Groub-IB identificaron recientemente un nuevo malware diseñado para robar credenciales de inicio de sesión de software especializado utilizado para negociar acciones y otros valores en línea.

El malware apunta al software comercializado en Internet llamado QUIK y FOOCUS IVonline de las firmas rusas de desarrollo de software ARQA Technologies y EGAR Technology, respectivamente, dijeron investigadores del Grupo IB el miércoles en una publicación de blog.

El software puede usarse para comerciar en la Bolsa de Moscú (MICEX), la Bolsa de San Petersburgo, la Bolsa de Ucrania y otras bolsas ges. También es utilizado por otras firmas de corretaje como BrokerCreditService en Chipre, Otkritie en el Reino Unido y Rusia, InstaForex, así como por grandes bancos como Sberbank, Alfa-Bank y Promsvyazbank, dijo el Grupo IB.

[Más información: cómo eliminar el malware de su PC con Windows]

Una vez instalado en una computadora, el malware comprueba la presencia de las aplicaciones específicas y comienza a monitorear cómo el usuario interactúa con ellas tomando capturas de pantalla. También roba las credenciales de inicio de sesión y carga los datos a un servidor de comando y control, dijeron los investigadores del Grupo IB.

Los clientes deberían tener protección estándar contra malware instalada en sus computadoras como programas antivirus y firewalls si usan software financiero. Vladimir Kurlyandchik, jefe de desarrollo comercial de ARQA Technologies, dijo el jueves por correo electrónico. "Esta es nuestra recomendación estándar".

De acuerdo con Kurlyandchik, el software QUIK admite varios mecanismos que pueden prevenir la cuenta. Los clientes que sospechen que sus cuentas podrían haber accedido sin autorización deberían cambiar inmediatamente sus claves de acceso. secuestro. Esto incluye la capacidad de restringir el acceso solo a ciertas direcciones IP (Protocolo de Internet), así como la autenticación en dos pasos a través de SMS o tokens RSA SecureID.

Los clientes y corredores pueden elegir la mejor opción adecuada para su situación, dijo Kurlyandchik. Las firmas de corretaje también pueden usar algunas herramientas para monitorear la actividad y bloquear el acceso a direcciones IP sospechosas, dijo.

Sin embargo, incluso si tales características de seguridad están disponibles, no necesariamente significa que todos las estén usando. Hay muchas maneras de extraer fondos de las cuentas de comercio en línea debido a la deficiente protección antifraude en el lado del servidor, dijo Andrey Komarov, jefe de proyectos internacionales en Group-IB.

Por ejemplo, FOCUS IVonline se usa normalmente a través de un el canal de VPN encriptado (red privada virtual) proporcionado por un producto de seguridad ruso, pero esto no es suficiente y los hackers aún pueden abusar fácilmente del software, dijo Komarov. El malware puede usar herramientas de acceso remoto como VNC o RDP para permitir que los atacantes se conecten a través de la computadora de la víctima.

La mayoría de estas aplicaciones comerciales especializadas están bien diseñadas y tienen buena seguridad, pero están instaladas en entornos no confiables, por lo que es difícil protegerlos, dijo Komarov. La seguridad de la PC del cliente es el problema principal, dijo.

Ha habido informes previos de piratas informáticos que ponen en peligro las cuentas de corretaje en línea. Esos ataques se usaron principalmente de forma indirecta e inyectores web como los que se ven en el malware bancario en línea, dijo Komarov.

La orientación a las cuentas comerciales en línea es parte de una gran y creciente tendencia para los ciberdelincuentes, dijo.