Cibercriminales traman ataque masivo con Troyano

Banda de hackers planean usar malware sofisticado para inicializar transferencias bancarias ilegales, dice la RSA

Computerworld – Una banda internacional de cibercriminales está tramando una gran campaña para robar dinero de cuentas en-línea de miles de consumidores en 30 o más bancos grandes de los Estados Unidos, advirtió la empresa en seguridad RSA.

En una notificación el jueves, la RSA dijo que tiene información sugiriendo que la banda planea desatar un programa Troyano poco conocido para infiltrar computadoras pertenecientes a clientes de bancos estadounidenses y para usar sus maquinas zombis para inicializar transferencias bancarias fraudulentas desde sus cuentas.

Si resulta exitoso, el esfuerzo podría terminar siendo una de las operaciones de troyano bancario organizadas más grande hasta la fecha, Mor Ahuvia, especialista en cibercrímenes de comunicaciones con la RSA dijo hoy. La banda está ahora reclutando cerca de 100 buteadores maestros, cada uno el cual será responsable de llevar a cabo ataques con Troyanos en contra de los clientes bancarios estadounidenses  en cambio de una comisión del motín, dijo ella.

Cada buteador maestro  estará respaldado por un “inversionista” quien proveerá dinero para comprar el hardware y software necesarios para los ataques, dijo Ahuvia.

“Esta es la primera vez que estamos viendo una operación criminal cibernética financieramente motivada orquestada a esta escala,” dijo Ahuvia. “Hemos visto ataques DDoS y hackeo anteriormente. Pero nunca hemos visto que fuese organizado a esta escala.”

La advertencia de la RSA viene en un tiempo cuando los bancos de Estados Unidos están ya en alerta alta. Durante las pasadas dos semanas, las operaciones en-línea de varios bancos mayores, incluyendo a JPMorgan Chase, Bank of America, Citigroup y Wells Fargo fueron interrumpidos por lo que pareció ataques de Negado de Servicio.

Un pequeño grupo conocido por “Ciber guerreros de Izz ad-din Al qassam” reclamó el crédito por los ataques, pero algunos expertos en seguridad piensan que una nación estuvo detrás de la campaña por la escala y naturaleza de la organización de los ataques.

A mediados de septiembre, el Centro de Servicios Financieros de Compartir Información y Análisis (FS-ISAC) advirtió a los bancos de estar alertas en contra de los ciberatacantes buscando robar credenciales de login de redes de empleados para conducir fraudes de transferencias bancarias extensas. Especialmente, la alerta advirtió a los bancos de estar al tanto de hackers usando spam, correos electrónicos phising, Troyanos de Acceso Remoto y logueadores de teclas para tratar y acechar usuarios y claves de empleados bancarios.

La FS-ISAC también mencionó que el FBI había visto una nueva tendencia donde los cibercriminales usan credenciales de empleados robadas para transferir cientos de miles de dólares de cuentas de los clientes a localidades extranjeras.

Durante los pasados años, los cibercriminales han sifonado millones de dólares de pequeños negocios, distritos escolares y gobiernos locales al robar nombres de usuarios y claves en-línea y usar esas credenciales para hacer transferencias.

La última discusión sugiere que ahora ellos tienes cuentas individuales de clientes en la mira, dijo Ahuvia, advirtiendo que la banda planea tratar de infiltrar computadores en los Estados Unidos con un programa poco conocido Troyano malware llamado Gozi Pinimalka.

El malware es una versión actualizada de un troyano bancario mucho más viejo, Gozi, el cual fue usado por cibercriminales  para robar millones de dólares de bancos estadounidenses. El plan del grupo aparentemente es plantar el programa Troyano en numerosos sitios web e infectar computadoras cuando los usuarios visiten esos sitios.

El Troyano es activado cuando el usuario de una computadora infectada escribe ciertas palabras—tales como el nombre de un banco específico—en el navegador URL.

A diferencia del Gozi original, la nueva versión es capaz de no solamente comunicarse con servidor de comando central sino que también de duplicar las propiedades de configuración de la víctima. El Troyano esencialmente soporta una característica de clonado de maquina virtual que puede duplicar las resoluciones de pantalla de la PC infectada, cookies, zona horaria, tipo de navegador, y versión y otros parámetros. Eso permite al atacante acceder al sitio web del banco de la víctima usando una computadora que parece tener la dirección de IP de la PC infectada real  y otras propiedades, dijo Ahuvia.

“Las cuentas usurpadas de las víctimas de esa manera serán accedidas a través de una conexión SOCK proxy instalada en sus PCs infectadas, permitiendo al sistema virtual usurpar la dirección IP genuina cuando acceda al sitio bancario,” dijo ella en su alerta.

Las víctimas de transferencias bancarias fraudulentas no se darán cuenta inmediatamente del robo porque los planes de la banda en usar software de inundación de VoIP para prevenir que las víctimas reciban notificaciones del banco en sus equipos móviles, agregó ella.

Los consumidores necesitan asegurar que sus navegadores están apropiadamente actualizados para protegerse en contra infecciones a través de sitios web, dijo ella. También ellos necesitan estar al tanto de cualquier comportamiento sospechoso o transacciones en sus cuentas.

La RSA también notificó al gobierno de EUA a su propia Red de Bloqueo Global de Acción Contra el Fraude en relación a la amenaza, dijo ella. Los bancos, por mientras, deberían considerar el implementar procedimientos más fuertes de autentificación y herramientas de detección de anomalías para localizar transferencias bancarias inusuales.

Fuente: Computerworld.com

Etiquetas: , , , , , , ,

About julesc00

Fighting the good fight!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: