Alertan por una falla que afecta a todos los bancos: qué pasó y cómo protegerte

Se dio a conocer un nuevo malware que ataca a cuentas de redes sociales y a cuentas bancarias. Viene de Brasil y ya llegó a la Argentina. Cómo funciona y cómo podes protegerte.

En los últimos días se dió a conocer un nuevo caso de malware orientado a comprometer la seguridad bancaria de sus víctimas.

Según pudieron recoger los expertos involucrados en la investigación se trata de una herramienta de acceso remoto (RAT), spyware, así como de robo de contraseñas, además de tener la capacidad de actuar como los troyanos bancarios.

A esta compleja pieza de malware multifuncional se la conoce como Guildma (que a su vez se cree que es una reeimplementación de otro malware llamado Astaroth). Fue descubierto por la firma Avast.

Fue confirmado que el software malicioso es de origen brasilero y que atacó a usuarios y servicios en Brasil e infectó solamente a computadoras operadas en portugués, pero el malware está ahora acechando a 130 bancos y otros 75 servicios en línea, como Netflix, Facebook, Amazon y Google Mail en todo el mundo, aunque se ha mantenido alejado de las computadoras operadas en inglés. Entre los nuevos países afectados está Incluída la Argentina.

¿Cuándo llegó a Argentina y a quiénes afecta?

Durante este año se detectaron más de 115.000 intentos de infección con esta pieza de software. 

Las detecciones comenzaron a aumentar en mayo de 2019, alcanzando un máximo en junio de 2019 y manteniendo ese ritmo. En mayo los hackers expandieron su grupo de objetivos bancarios y también comenzaron a apuntar a otros 75 servicios web en todo el mundo. Hasta ese entonces, los investigadores lograron, a través de tareas informática forense, detectar que el malware no había salido de Brasil.

En la Argentina, se logró confirmar que el malware está apuntado a varias instituciones bancarias, a servicios de social media y webservices como así también sitios de e-commerce. Entre estos se destacan, según Avast: Banco Santander, Banco Galicia, BBVA Fránces, Macro, HSBC, Hipotecario, Supervielle y el sitio del procesador de pagos RedLink.

En lo que respecta a webservices y social media, el malware informático afecta a Facebook, Twitter, Instagram y a los gestores de correo de Google (Gmail), Yahoo, Hotmail y a las cuentas de Google.

Todos los módulos centrales están escritos en el entorno Borland Delphi y posiblemente basados otras tecnologías RAT de código abierto como Delphi Remote Access PC, AmigoRAT o PureRAT.

El hecho de que estos servicios estén en la "base de datos" del malware significa que al infectar a un usuario, el software buscara detectar y registrar la información que provea el usuario por el uso de estos sitios ya que está programado para detectar sitios como  santanderrio.com[.]ar o bancogalicia[.]com.

Sin embargo, según las fuentes consultadas, hasta el momento no se conocen casos de usuarios comprometidos. "Nuestras herramientas de seguridad ya lo tienen catalogado y estan en condiciones de detectarlo y frenarlo. Tampoco tenemos evidencias sobre que hayan clientes perjudicados por dicho malware", explico una fuente desde RedLink

"De hecho, hoy día se utilizan esquemas de autenticación multifactor para minimizar el riesgo de perdidas a un cliente cuyo dispositivo resulte infectado", agregó.

Por su parte, Banco Galicia también reconoció la existencia de malware aunque aclaró que no se vio afectado. Y acotó que también están tomando "todas las medidas necesarias".

¿Cómo funciona el malware?

El primer paso es hacer lo que se conoce como targeted phishing. Se realizan campañas de mails falsos que incentivan a la víctima a realizar alguna acción que desee el cibercriminal.

Los correos son personalizados y se dirigen a sus víctimas por su nombre (de ahí que sean "targeted"). Los cibercriminales usan correos y datos personales que se obtienen de filtraciones previas o se compran en mercados negros de la web.

En los correos se adjunta un archivo ZIP, el cual contiene un archivo LNK malicioso, enviado a través de sitios web infectados o de botnets.

Ejemplo de archivo LNK malicioso

LNK es una extensión para archivos de acceso directo utilizado por Microsoft Windows para apuntar a un archivo ejecutable o una aplicación. Los archivos LNK se utilizan generalmente para crear accesos directos del menú de inicio y del escritorio. Muchos usuarios no muestran desconfianza ya que no se trata del archivo .EXE más comúnmente reconocido como un ejecutable.

Cuando un usuario abre el archivo malicioso LNK, este compromete la herramienta de la línea de Windows Management Instrumentation Command y discretamente descarga un archivo XSL (Extensible Stylesheet Language) malicioso.

Este archivo XSL descarga todos los módulos de Guildma y ejecuta un cargador de primera etapa que incluye todos los otros módulos de malware (todas las funciones, como recopilar contraseñas, leer lo que se escribe en el teclado, etcétera).

En ese momento, el malware se activa y aguarda las órdenes de un servidor de comando y control de interacciones específicas del usuario, como abrir un sitio web de uno de los servicios blanco de ataque. El malware se aprovecha de la tecnología BITSadmin de los sistemas operativos Windows (un sistema automatizable de admistración de archivos que se ejecuta "oculto" al usuario y puede recibir y ejecutar ordenes).

Incluso puede detectar sitios web de interés, como un homebanking, cerrar las ventas del navegador web y luego capturar los datos ingresados por el teclado cuando el usuario intenta loggearse de nuevo.

¿Cómo protegerse?

"Si un dispositivo es infectado con Guildma, los usuarios pueden experimentar una débil conexión de red, debido a que se envían capturas de pantalla a través de la Internet, se acapara la línea, o la computadora envía respuestas con retraso", explicó Avast, en un comunicado. 

Las recomendaciones son no abrir correos de remitentes desconocidos y contactar por vías oficiales a los servicios cuando se recibe un correo inusual que pide la descarga de archivos o la ejecución de algún programa foráneo a la computadora del usuario.

El listado completo de posibles vectores de ataque: 

Bancos

En Argentina:

bancodecomercio.com[.]ar

bancoprovincia

santanderrio.com[.]ar

bancogalicia[.]com

bbvafrances.com[.]ar

macro.com[.]ar

hsbc.com[.]ar
bancocredicoop[.]coop

bancopatagonia[.]com

privatebank.citibank[.]com

hipotecario.com[.]ar

bancor.com[.]ar

supervielle.com[.]ar

bancosantafe.com[.]ar

bancosanjuan[.]com

itau.com[.]ar

comafi.com[.]ar

bancodelapampa.com[.]ar

bse.com[.]ar

bancoentrerios.com[.]ar

bancochubut.com[.]ar

bancotucuman.com[.]ar

bancodecorrientes.com[.]ar

nbch.com[.]ar

bice.com[.]ar

bpn.com[.]ar

bancoformosa.com[.]ar

bancocolumbia.com[.]ar

bancopiano.com[.]ar

bancosantacruz[.]com

bancocmf.com[.]ar

mariva.com[.]ar

bst.com[.]ar

bancosaenz.com[.]ar

bancobic[.]ao

redlink.com[.]ar

 

Web email services

mail.live[.]com

outlook.live[.]com

login.live[.]com

email.uol[.]com.br

mail.uol[.]com.br

mail.yahoo[.]com

login.yahoo[.]com

mail.google[.]com

accounts.google[.]com

mail.terra[.]com.br

 

Social sites/media:

facebook[.]com

twitter[.]com

Instagram[.]com

netflix[.]com

 

E-commerce/e-shops:

aliexpress[.]com

amazon[.]com

ebay[.]com

ricardoeletro[.]com

walmart[.]com
magazineluiza[.]com

 

Diversas urls:

uolhost[.]com

godaddy[.]com

gmx[.]com

ogin.r7[.]com 

Temas relacionados
Más noticias de hackeo bancario

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.
Nombre