CamuBot: nuevo malware bancario que apunta a Brasil.

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Conocido como CamuBot, se identifica como un malware único porque está disfrazado como un módulo de seguridad necesario del banco.

El malware también puede eludir la función de autenticación biométrica, lo cual es una habilidad perturbadora.

El malware bancario previamente descubierto y troyanos como BankBot, Emotet y Kronos funcionaron de manera diferente.

Estos fueron diseñados para robar credenciales en línea al ser desplegados en máquinas específicas y utilizaron métodos de ocultación complejos para evadir la detección.

Sin embargo, CamuBot da un giro de 360 ​​grados en la forma en que funciona el malware bancario al camuflarse como una auténtica aplicación de seguridad del banco.

Malware CamuBot camuflado como aplicación de seguridad del banco para robar credenciales

El foco de este malware, como por ahora, es que los usuarios de banca en línea en Brasil y los clientes de banca comercial están en mayor riesgo.

Los investigadores de seguridad identificaron el malware en agosto después de observar un aumento repentino en ataques dirigidos contra organizaciones y empresas del sector público.

La mayoría de las instituciones y empresas seleccionadas se basaron en la ingeniería social.

El ataque involucró varios pasos

Los atacantes primero identifican las empresas que estaban conectadas a su banco preferido.

Después del examen obligatorio, hacen una llamada telefónica a alguien de esa compañía.

La víctima es cuidadosamente seleccionada ya que los atacantes querían contactar al que tiene información adecuada sobre cómo acceder a una cuenta bancaria comercial.

La llamada es realizada por un atacante que se hace pasar por un empleado del banco, y la víctima es engañada para que brinde la información necesaria.

La víctima se dirige a un dominio en línea para verificar el estado de un módulo de seguridad.

El módulo está diseñado con el logotipo y el esquema de color original del banco, por lo que parece legítimo.

A la víctima se le informa que el software de seguridad del banco, una actualización y un nuevo módulo de seguridad, deben instalarse de inmediato. Este módulo es el troyano CamuBot.

Tan pronto como se instala, aparece una aplicación falsa de Windows con el logotipo del banco objetivo.

CamuBot comienza a escribir archivos dinámicos en la carpeta de esta aplicación y logró crear un módulo proxy SOCKS basado en SSH y también se agrega al Firewall de Windows.

Una vez hecho esto, se le pide a la víctima que visite un sitio web de phishing donde se solicitan las credenciales de inicio de sesión. El malware envía la información a los operadores de CamuBot.

La función del módulo proxy se usa generalmente en un “túnel bidireccional de puertos de aplicaciones desde el dispositivo del cliente al servidor”.

Sin embargo, en el caso de CamuBot, el túnel permite a los atacantes “dirigir su propio tránsito a la máquina infectada y usan la dirección IP de la víctima cuando acceda a la cuenta bancaria comprometida “.

El malware también tiene la capacidad de eludir la función de autenticación biométrica, que generalmente se considera confiable para proteger las cuentas de los usuarios.

CamuBot también puede permitir el uso compartido remoto mediante la instalación de controladores para dispositivos de autenticación con el fin de interceptar y robar contraseñas únicas usadas con fines de verificación.

Hasta el momento, el malware no se ha detectado en ningún otro país, pero el alcance del ataque puede expandirse en los próximos días, según sospechan los investigadores.

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris