CamuBot apareció el mes pasado en Brasil y está dirigido a empresas y organizaciones del sector público. La víctima es la que instala el malware, siguiendo las instrucciones de un operador humano que pretende ser un empleado del banco.
Ingeniería social por el libro
El malware en sí está disfrazado como una aplicación de seguridad, marcada con el logotipo y la imagen de marca del banco.
"Para llevar a cabo sus ataques, los operadores de CamuBot comienzan con algunos reconocimientos básicos para encontrar empresas que realizan operaciones bancarias con una determinada institución financiera. Luego inician una llamada telefónica a la persona que probablemente tenga las credenciales de la cuenta bancaria de la empresa", dijeron expertos de IBM X. El equipo de Force Research escribe hoy en una publicación de blog.
El pretexto del ingeniero social que lleva a la instalación de la herramienta de seguridad falsa es verificar la validez del módulo de seguridad actual del banco.
Fingiendo ser un empleado de la institución financiera con la que el objetivo hace negocios, el operador le pide a la víctima que cargue un sitio web que muestre convenientemente que el software está desactualizado.
Para solucionar el problema, el atacante engaña a la víctima para que descargue e instale un nuevo módulo para actividades bancarias en línea, con los privilegios de un administrador.
Las transacciones fraudulentas se ejecutan a través del sistema de la víctima
La rutina de CamuBot incluye configurar un proxy SOCKS basado en SSH en el dispositivo y habilitar el reenvío de puertos. El objetivo de esto es establecer un túnel de comunicación bidireccional con el dispositivo, que permita a los atacantes usar la dirección IP de la víctima cuando accedan a la cuenta bancaria comprometida.
Obtener las credenciales de inicio de sesión para la cuenta bancaria en línea se resuelve a través de phishing. Después de la instalación, CamuBot lanza un sitio web falso para el banco objetivo, lo que obliga a la víctima a iniciar sesión, enviando así la información al atacante.
Para eludir la detección de antivirus y firewall, el malware se agrega a la lista de programas aprobados en ambas herramientas de seguridad.
Los autores de malware se aseguraron de que su creación tenga éxito en situaciones que requieren autenticación de dos factores.
Si el segundo desafío de autenticación requiere un dispositivo que se conecta a la computadora infectada, CamuBot puede reconocerlo e instalar los controladores correctos. Luego se le pide a la víctima que comparta el código temporal con el operador por teléfono.
Con el código de una sola vez en la mano, los delincuentes pueden intentar una transacción fraudulenta, haciendo un túnel a través de su dirección IP para hacer que la sesión parezca legítima del lado del banco", explican los investigadores.
Los ataques con CamuBot son personalizados, dice el equipo de IBM X-Force, y apuntan a las empresas en Brasil, sin avistamientos en otras geografías.
Estos ataques dependen mucho de la ingeniería social, pero el atacante tiene una buena cantidad de trucos y es probable que las víctimas caigan en cada uno de ellos. Desde el instalador que está envuelto en la imagen de marca del banco y hasta la instalación del controlador, hay pocos puntos en la conversación donde se puede volar la cubierta del atacante.
Tags:
Seguridad