Easy Solutions ayuda a Instituciones Financieras a detener los troyanos bancarios.

Easy Solutions descubrió recientemente nuevas campañas que emplean dos notorios troyanos bancarios. Las campañas estaban dirigidas a una importante institución financiera, donde se implementaron como parte de una campaña de ataque para capturar las credenciales de inicio de sesión de los clientes y la autenticación de segundo factor (2FA). Existe evidencia de que estos ataques se están extendiendo por todo el mundo, desde los EE. UU. Hasta América Latina, Europa y Asia.

Los troyanos bancarios se conocen como Zeus Panda y Marcher. El primero funciona inyectando un JavaScript malicioso en la página de inicio de sesión del banco objetivo. La inyección se realiza desde la computadora portátil o el escritorio de un cliente infectado cuando visita la página de inicio de sesión, y permite que el malware obtenga credenciales, detalles de tarjetas de crédito y otra información personal confidencial, independientemente de lo que el grupo cibercriminal esté buscando robar.

La inyección de malware de Zeus Panda que encontramos apuntando a uno de nuestros bancos clientes fue particularmente potente debido a su capacidad de capturar 2FA en una de dos formas, dependiendo de si era un cliente bancario corporativo o personal que intentaba iniciar sesión.

En el caso de clientes corporativos cuyas computadoras fueron infectadas por Zeus Panda, la secuencia de comandos inyectada agregaría un campo de formulario adicional para la contraseña única de 2FA (OTP). El usuario obtendría su OTP, y si lo ingresaron en el campo malicioso, sería capturado por los atacantes, junto con sus credenciales de inicio de sesión. Por otro lado, los clientes de banca personal que intentaban iniciar sesión en sus cuentas bancarias desde computadoras infectadas fueron dirigidos por el malware a una página falsa en la que se les pedía que descargaran una aplicación móvil (el troyano Marcher). Si el usuario lo hiciera, permitiría a los ciber-delincuentes interceptar el OTP de autenticación entregado por SMS enviado al troyano Marcher que se hace pasar por la aplicación móvil legítima del banco.

De acuerdo con nuestra investigación, la campaña de ataque empleó técnicas de phishing y de ingeniería social para infectar a la mayor cantidad posible de clientes del banco, tanto corporativos como personales. Los que cayeron en la trampa no tenían idea de que sus computadoras se habían infectado silenciosamente.

Zeus Panda acecha silenciosamente en una máquina infectada hasta que el cliente intenta iniciar sesión en la página de inicio de sesión del banco objetivo y, cuando lo hace, inyecta su script malicioso, comprometiendo lo que el usuario ve en lo que de otra manera sería una página web legítima.

El malware funciona al capturar toda la información personal que necesita para tomar el control total de la cuenta bancaria en línea de la víctima. La trampa establecida por Zeus Panda Trojan era difícil de detectar, ya que todos los campos de formulario que mostraba al usuario aparecían exactamente como la página de inicio de sesión normal del banco (salvo para el campo que solicita la OTP). Cuando la víctima ingresó sus datos de inicio de sesión, en lugar de enviar esa información a los sistemas del banco, los datos son realmente capturados por el malware y enviados al servidor de comando y control de los ciber-delincuentes.

De Zeus Panda a Marcher La forma en que se comporte el malware depende de qué tipo de cliente bancario sea el usuario comprometido.

El proceso 2FA para clientes corporativos es más seguro que el ofrecido a clientes personales, y el troyano no puede obtener acceso a él. Para evitar esto, el malware simplemente lo solicitó y el usuario corporativo, probablemente pensando que no pasaba nada, ingresó al OTP de canal externo que recibieron en el campo de formularios maliciosos. Cuando lo hicieron, fueron dirigidos a una pantalla que decía: "Lo sentimos, esta página no está disponible en este momento". Esta fue una cortina de humo diseñada para confundir al usuario, pero no tanto como para que sospecharan y llamaron al banco.

Zeus Panda Trojan ordena a un cliente de banca personal que descargue "la última aplicación de seguridad" que es, en realidad, el troyano de banca móvil Marcher.

Para los clientes personales que habían sido engañados para que divulgaran sus credenciales de inicio de sesión, se mostró una pantalla separada que los dirigía a descargar lo que parecía ser la "última aplicación de seguridad móvil" del banco. El usuario, creyendo que su banco debe haber implementado una nueva medida de seguridad para mantenerlos a salvo (sin decírselo), probablemente seguiría el proceso.

Se les ordenó descargar la aplicación maliciosa que se presenta como una nueva aplicación de seguridad, no de una tienda de aplicaciones oficial, sino de un enlace proporcionado por el ciber-criminal, y una vez que lo hicieron, el dispositivo móvil del cliente personal estaría infectado con el troyano de banca móvil Marcher.

Con el troyano Marcher en juego, el ciber-criminal ahora estaba listo para capturar el 2FA provisto por el banco, pero sin el conocimiento del cliente, la medida de seguridad había sido eludida. El hacker ahora tenía todo lo que necesitaba para visitar la página de inicio de sesión del banco, ingresar las credenciales robadas del cliente personal, y cuando el banco enviaba automáticamente a ese usuario un OTP entregado por SMS, el virus troyano Marcher podía redirigirlo del teléfono de la víctima a los delincuentes. sistemas. Luego podrían robar los fondos de la cuenta del cliente a voluntad.

Cómo detectaron y mitigaron las soluciones fáciles las amenazas Nuestra solución Detect Safe Browsing (DSB) Clientless detectó la presencia de la inyección de malware en la página transaccional cuando un cliente cuyo dispositivo había sido infectado con el malware lo visitó. A continuación, DSB les proporcionó evidencia procesable en forma de captura de pantalla, lo que permitió a la institución tomar medidas inmediatas.

Mientras tanto, el Centro de operaciones de seguridad de Easy Solutions se enteró de la presencia de los dos troyanos y los agregó a nuestra base de conocimiento para garantizar que ese tipo de ataque no se pueda desplegar nuevamente sin ser detectado de inmediato.

Nuestra otra solución de navegación segura móvil, DSB Mobile, protege todas las comunicaciones entre la plataforma del banco y el teléfono móvil del cliente, incluso los mensajes de texto SMS, lo que significa que las aplicaciones maliciosas como Marcher no pueden capturar información del usuario o 2FA. Además, en casos de aplicaciones maliciosas que implementan otras técnicas de robo de credenciales (como un ataque de superposición, registradores de pulsaciones de teclas o pharming), DSB Mobile protege contra esas también.

Finalmente, los clientes bancarios que descargan e instalan DSB Client en sus PC se protegen automáticamente gracias a la incorporación de los detalles del ataque desde nuestra base de conocimiento. DSB Client puede neutralizar eficazmente el efecto de Zeus Panda y todos los demás troyanos bancarios al cortar la capacidad del malware para comunicarse con la estructura de comando y control de los atacantes.

Easy Solutions ha estado rastreando la evolución del troyano Zeus Panda, brindándonos la capacidad de detectar cuándo los ciber-delincuentes intentan desarrollar o volver a empaquetar el malware o sus servidores de comando y control, y cuando lo hacemos, reaccionamos en consecuencia. Hacerlo de manera efectiva neutraliza cualquier ataque futuro, tanto que ya no es rentable que el grupo hacker intente relanzar el ataque.

Un defraudador frustrado es un defraudador que se da por vencido y se traslada a un objetivo más vulnerable.

Para obtener más información sobre la detección de soluciones de navegación segura, haga clic aquí.

#Digitalsolutions #DigitalGuru #Onthego #Convenient #Efficient #DigitalFinance #Leadingthedigitalandmobilebankingtransformat #DigitalBankingExperts #FinanciallyDigitized #Protection #Secure #EasySolutions