Los fraudes bancarios siempre suelen ser el arma predilecta de los ciberdelincuentes. El motivo es simple: robar dinero. En este caso, les presentamos el análisis de unas muestras que tienen como objetivo el robo de credenciales bancarias de importantes entidades financieras brasileñas.
Los sistemas de home banking brasileros implementan controles de seguridad diversos, haciendo que el robo de credenciales bancarias no sea algo trivial. En el Laboratorio de Investigación de ESET Latinoamérica hemos recibido recientemente dos amenazas detectadas por nuestra solución antivirus como Win32/Spy.Bancos.ACD. Las primeras detecciones de la familia Win32/Spy.Bancos datan del año 2004, y tienen la finalidad de robar credenciales bancarias de entidades financieras, principalmente aquellas localizadas en Brasil. Las variantes de esta familia son diferenciadas por los protocolos que utilizan para enviar los datos robados, como por ejemplo FTP o SMTP.
La ejecución de la primera muestra abrirá un navegador muy similar a Google Chrome, directamente en la página de una importante entidad financiera (ver imagen siguiente). Este navegador es una copia falsa, simula ejecutarse a pantalla completa, y únicamente aceptará la interacción con la página del banco. Los botones como el de “actualizar” no funcionan, y aunque se pueda escribir en la barra de direcciones no será posible acceder a otro sitio.
El sitio bancario es real. El malware monitoreará las acciones de la víctima, esperando a que ingrese credenciales bancarias. Dichas credenciales corresponden a un número de sucursal bancaria y un número de cuenta. Siguiendo el proceso de autenticación del usuario, el paso siguiente será verificar el nombre del titular de la cuenta, e ingresar un código alfanumérico de 8 dígitos. En este punto el sitio bancario ofrecerá al usuario la posibilidad de utilizar un teclado virtual, y por eso mismo el malware captará las posiciones del mouse en caso de que lo utilice.
Todas las credenciales bancarias que el usuario ingrese serán almacenadas por el malware, que las enviará en un archivo comprimido a una cuenta de correo utilizando Gmail. La otra muestra que mencionamos al principio presenta un comportamiento similar, variando en la entidad bancaria, como puede verse en la siguiente captura.
Al ver el análisis de esta muestra, evidenciamos que un usuario desprotegido puede ser víctima de un robo de credenciales bancarias, incluso aunque el proceso de autenticación sea complejo y presente diversos mecanismos de validación. Es por esto que recomendamos contar con una solución antivirus, y además revisar las herramientas utilizadas con criterio: si difieren de las habituales, es necesario proceder con cautela.
