ESET ha publicado un whitepaper que detalla sus hallazgos sobre la conexión que existe entre varias familias de troyanos bancarios latinoamericanos; un documento que también fue publicado por Virus Bulletin.

Durante mucho tiempo, los troyanos bancarios latinoamericanos fueron considerados como un grupo de malware. Los investigadores de ESET descubrieron que ese no es el caso y que, a pesar de tener mucho en común, entre los troyanos bancarios se pueden reconocer varias familias de malware distintas. A lo largo del último año publicamos una serie de artículos en los que analizamos el accionar de distintas familias de troyanos bancario de América Latina. Estas publicaciones se centran en los aspectos más importantes e interesantes de estas familias. Hasta ahora y como parte de esta serie, hemos desenmascarado a las siguientes familias de troyanos bancarios: Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro y Mekotio. En los próximos artículos analizaremos a Krachulka, Lokorrito, Numando, Vadokrist y Zumanek.

En este whitepaper analizamos a estas familias, pero desde otra perspectiva. En lugar de enfocarnos en los detalles que presenta cada familia y resaltar sus características únicas, nos centramos en lo que tienen en común. Si ha estado siguiendo nuestra serie, es posible que haya notado algunas de las similitudes existentes entre varias de estas familias de troyanos bancarios, como el uso de un mismo -y poco común- algoritmo para cifrar strings o similares algoritmos de generación de dominio (DGA, por sus siglas en inglés) para obtener direcciones de los servidores de C&C.

Las primeras similitudes que detectamos están en la implementación de estos troyanos bancarios. La más obvia de todas está relacionada con la casi idéntica implementación de los componentes centrales de los troyanos, como es el envío de notificaciones al operador, el escaneo periódico de las ventanas activas según el nombre o título, y los ataques a través de falsas ventanas emergentes diseñadas cuidadosamente con el objetivo de obtener información confidencial de víctimas. Además de eso, estas familias de malware comparten bibliotecas de terceros poco comunes, algoritmos de cifrado de strings y técnicas de ofuscación de strings y binarios.

Sin embargo, las similitudes no terminan ahí. Al analizar las cadenas de distribución de estas familias de malware nos dimos cuenta que también comparten la misma lógica: generalmente buscan un marcador (un objeto, como un archivo o un valor de clave de registro que es utilizado para indicar que la máquina ya ha sido comprometida), y descargan datos en archivos ZIP. Además de eso, hemos observado cadenas de distribución idénticas que terminan con la distribución de múltiples troyanos bancarios latinoamericanos. También vale la pena mencionar que desde 2019, la gran mayoría de estas familias de malware comenzaron a utilizar Windows Installer (archivos MSI) como parte de la primera etapa de la cadena de distribución.

Los troyanos bancarios latinoamericanos también comparten métodos de ejecución. Suelen traer sus propias herramientas empaquetadas en los archivos ZIP antes mencionados. Los dos métodos más comunes son la carga lateral de DLL y el abuso de un intérprete de AutoIt legítimo. Además, al usar el primero de los métodos, varias familias abusan de las mismas aplicaciones vulnerables para ese propósito (el llamado Bring Your Own Vulnerable Software) .

El término "troyano bancario latinoamericano" se debe a la región a la que suelen apuntar estos troyanos bancarios: América Latina. Sin embargo, desde finales de 2019, vemos que varios de ellos añadieron a España y Portugal a la lista de los países a los que apuntan. Además, como si fuese otro movimiento coordinado, diferentes familias utilizan en sus últimas campañas plantillas de correo spam similares.

Dada la cantidad de similitudes, uno debería esperar que también compartan las ventanas emergentes falsas que utilizan estos troyanos bancarios. De hecho, parece ser lo contrario. A pesar de que las ventanas tienen una apariencia similar (ya que están diseñadas para engañar a los clientes de las mismas entidades financieras), no hemos detectado el uso de ventanas idénticas por parte de varias familias.

Dado que no creemos que sea posible que autores de malware independientes presenten tantas ideas en común y tampoco creemos que un grupo sea responsable de mantener todas estas familias de malware, concluimos que se trata de múltiples actores de amenazas que cooperan entre sí. Puede encontrar información más detallada sobre las similitudes que identificamos en el whitepaper.

Técnicas de MITRE ATT&CK

En la tabla (en inglés) que publicamos más abajo, que es un agregado de las técnicas basadas en la tabla estándar MITRE ATT&CK, ilustramos muchas de las características que comparten los troyanos bancarios latinoamericanos. No es una lista exhaustiva, sino una que se centra en las similitudes, y muestra lo siguiente:

  • el phishing es el vector de ataque más común
  • dependen en gran medida de los lenguajes de scripting, principalmente VBScript
  • La clave de ejecución del registro o la carpeta de inicio son los métodos más comunes de persistencia
  • de alguna manera, todos ofuscan ya sea payloads o datos de configuración
  • favorecen mucho la carga lateral de DLL
  • para robar credenciales tienden a usar ventanas emergentes falsas o keyloggers
  • dedican un considerable esfuerzo a recopilar capturas de pantalla y realizar escaneos en busca de software de seguridad
  • prefieren algoritmos de cifrado personalizados sobre los establecidos
  • no filtran todos los datos recolectados al servidor de C&C, sino que también usan diferentes ubicaciones

Nota: Esta tabla se creó utilizando la versión 7 del framework de MITRE ATT&CK.

Tactic ID Name Amavaldo Casbaneiro Grandoreiro Guildma Krachulka Lokorrito Mekotio Mispadu Numando Ousaban Vadokrist Zumanek
Initial Access T1566.001 Phishing: Spearphishing Attachment
T1566.002 Phishing: Spearphishing Link
Execution T1059.005 Command and Scripting Interpreter: Visual Basic
T1059.007 Command and Scripting Interpreter: JavaScript/JScript
T1059.003 Command and Scripting Interpreter: Windows Command Shell
T1059.001 Command and Scripting Interpreter: PowerShell
T1047 Windows Management Instrumentation
T1059 Command and Scripting Interpreter
Persistence T1547.001 Boot or Logon Autostart execution: Registry Run Keys / Startup Folder
T1053.005 Scheduled Task/Job: Scheduled Task
Defense Evasion T1140 Deobfuscate/Decode Files or Information
T1574.002 Hijack Execution Flow: DLL Side-Loading
T1497.001 Virtualization/Sandbox Evasion: System Checks
T1218.007 Signed Binary Proxy Execution: Msiexec
T1036.005 Masquerading: Match Legitimate Name or Location
T1197 BITS Jobs
T1112 Modify Registry
T1218.011 Signed Binary Proxy Execution: Rundll32
T1027.001 Obfuscated Files or Information: Binary Padding
T1220 XSL Script Processing
Credential Access T1056.002 Input Capture: GUI Input Capture
T1056.001 Input Capture: Keylogging
T1555.003 Credentials from Password Stores: Credentials from Web Browsers
T1552.001 Unsecured Credentials: Credentials In Files
Discovery T1010 Application Window Discovery
T1518.001 Software Discovery: Security Software Discovery
T1082 System Information Discovery
T1083 File and Directory Discovery
T1057 Process Discovery
Collection T1113 Screen Capture
T1115 Clipboard Data
Command and Control T1132.002 Data Encoding: Non-Standard Encoding
T1571 Non-Standard Port
T1132.001 Data Encoding: Standard Encoding
T1568.002 Dynamic Resolution: Domain Generation Algorithms
T1568.003 Dynamic Resolution: DNS Calculation
Exfiltration T1048 Exfiltration Over Alternative Protocol
T1041 Exfiltration Over C2 Channel

Como se puede apreciar, los troyanos bancarios latinoamericanos, aunque tienen sus diferencias, tienen muchas características en común.