Este año ha traído muchas sorpresas en el mundo de la ciberseguridad, despertando las alarmas de los profesionales en el tema.

En el último informe del panorama de amenazas de Fortinet, hablamos como los delincuentes informáticos están adoptando técnicas avanzadas para desarrollar sus proyectos maliciosos, enfocados en conseguir beneficio económico con el robo de datos mediante técnicas de Ingeniería Social.

En esta oportunidad hablaremos sobre el tipo de Malware llamado “Troyanos Bancarios”, ¿qué son?, ¿cómo funcionan?, tipos de troyanos y como prevenir ser víctima de estos virus.

¿Qué es un troyano bancario?

Un Troyano es un malware que utiliza métodos de ingeniería social, tal como hacerse pasar por una aplicación o página bancaria (Spoofing), para engañar a los usuarios y que estos den sus datos de manera voluntaria. También puede venir incluido con una aplicación crackeada o incluso dentro de un programa gratuito o “Freeware”.

Una vez que logra instalarse en nuestros equipos, realiza acciones malintencionadas en segundo plano, como puede ser la creacion de una puerta trasera o backdooring en la computadora, espiandonos, y haciendo varios tipos de daños.

Todo esto con la finalidad de robar nuestros datos bancarios transfiriendo de cuenta en cuenta nuestro saldo, hasta quitarnos todo el dinero que tengamos.

Historia de los troyanos bancarios

El nombre proviene del caballo de Troya descrita en la mitología griega como un arma envuelta en un truco socio-técnico.

Los griegos no pudieron entrar en una ciudad fortificada, por lo que construyeron un caballo de madera lleno de soldados y fingieron que estaban abandonando la lucha, dejando un regalo para Troya.

Los Troyanos dejaron entrar el “regalo” en la fortaleza y fueron destruidos a cambio.

Han pasado muchos siglos, pero la gente todavía se deje engañar por el mismo truco y al ser tentados por trampas de fuentes reconocidas.

Esto se traslado a los ámbitos computacionales con el auge de las redes de Internet, donde a mediados del 2004 los primeros Troyanos Bancarios aparecieron.

Fue en este año cuando se notó una evolución en los keyloggers 1, o capturadores de teclas tradicionales. Los especialistas detectaron ejemplares de Troyanos que filtraban la captura de datos en función de las páginas visitadas.

Desde entonces las técnicas de captura de credenciales y de monitorización de páginas visitadas han evolucionado; al punto que los consejos de seguridad más comunes como verificar el candado verde en la página de la entidad bancaria o comprobar la autenticidad del certificado, ya no son insuficientes.

¿Cómo funciona un Troyano Bancario?

Con el fin de recolectar la información únicamente de las páginas visitadas por el usuario, estos troyanos suelen recoger y actualizar listados de entidades bancarias, bien sea en su cuerpo o en un archivo de configuración que crean o que descargan desde un servidor malicioso.

Algunos de estos troyanos tienen enormes listas de cadenas de monitorización de actividad bancaria, por ejemplo, la familia Sinowal emplea más de 2000 ítems.

Es un tipo de troyano que se caracteriza por atrapar y almacenar las pulsaciones efectuadas sobre el teclado.

Posteriormente estos datos se envían a un ciberdelincuente, para ser usadas fraudulentamente.

Las últimas versiones de este tipo de malwares, hacen capturas de pantalla del equipo atacado. De esta forma, el uso del teclado virtual ya no es una forma de defensa tan efectiva.

Se tienen registrados 2 tipos o corrientes de este malware bancario, clasificados según el país de los hackers, como es Brasil y Rusia

Por lo general los Troyanos Bancarios de los hackers rusos suelen ser mucho más sofisticados y silenciosos.

Cabe destacar que los ciberdelincuentes de China y Corea están compitiendo por liderar la lista de desarrolladores de este tipo de malware.

Tipos de Troyanos Bancarios

Dado que este tipo de malware es dirigido a entidades bancarias, las cuales cuentan con equipos de alta gama en ciberseguridad y son respaldadas por empresas líderes de la industria, es posible llevar un registro de los Troyanos más detectados por los sistemas de seguridad bancarios:

• Bancos
• Bank
• Banker
• Silentbanker
• Zbot
• Sinowal
• Torpig
• Fraud
• Zeus
• Infostealer
• Ambler
• Stealer
• Yessim
• Yaludle
• Banload
• Bankpatch
• Multibank
• Nethell
• Chrome Inject
• Goldun
• Banspy
• Banco Door
• Bancodo
• Dorkbot
• Emotet
• Ramnit
• Kronos

Cabe destacar que esta es solo una pequeña lista del total de amenazas detectadas cada día por los entes especializados en ciberseguridad.

Es necesario aclarar que a la hora de interpretar los datos, se tiene que no todos los equipos afectados por estos malware terminan en una situación de fraude. Para que un fraude se produzca se han de dar tres circunstancias:

1. El equipo del usuario debe estar infectado por este tipo de troyanos.
2. El tipo de malware que infectó la máquina del usuario debe atacar a la entidad bancaria con la que opera el usuario.
3. El usuario ha de iniciar sesión en su espacio de banca electrónica y rellenar los datos adicionales que se le soliciten

Troyanos Bancarios más peligrosos

De la lista anterior escogimos solo 3 para detallarlos, ya que no solo funcionan como troyanos, sino que también funcionan como gusanos, haciéndolos más peligrosos.

Troyano Bancario Dorkbot

Es un malware de tipo gusano que afecta a ordenadores con sistema operativo Windows. Una vez infectado un ordenador, este pasa a ser parte de una red de bots, los cuales son controlados de forma remota por Centro de Comando y Control (C&C) a través del protocolo IRC.

Todo esto para robar información de los usuarios y sus contraseñas de las principales Redes Sociales (Facebook, Google+, Twitter, etc.), cuentas de correo (Gmail, Yahoo, Outlook), sitios de compras en línea como Paypal, cuentas de correo corporativo y credenciales bancarias.

Normalmente se propaga por unidades extraíbles contaminadas como, por ejemplo, memorias USB, discos externos.

Troyano Bancario Emotet

Es un troyano, aunque, también contiene la funcionalidad necesaria para ser clasificado como un gusano.

La principal diferencia es que un troyano requiere cierto grado de ingeniería social para engañar a un ser humano para que este permita la propagación de la infección, mientras que un gusano puede extenderse a otros sistemas sin la ayuda de un usuario.

Una vez que Emotet infectó a un dispositivo, tiene la capacidad de interceptar, registrar, y guardar todo el trafico de red saliente del navegador web, permitiendo interceptar información sensible (como cuentas de bancos) de la víctima. La primera infección comienza por spam en el correo electrónico que puede contener un enlace de descarga o un documento de word.

Troyano Bancario Osiris

Esta es una nueva variante del Troyano Bancario Kronos. Ha estado presente en diferentes campañas en países europeos y también otras naciones como Japón. Esta nueva actualización incluye funciones como el control de comando de red TOR, captura de teclas y control remoto a través de VNC.

Esta nueva actualización de Kronos utiliza mecanismos Anti-VM o Anti-Sandbox para evadir la detección en cualquier entorno virtual. Además, puede modificar y reducir la seguridad del navegador para inyectar código malicioso en los sitios web.

Cómo prevenir la infección de un Troyano bancario

Este tipo de malwares comúnmente es dirigido hacia las personas, sin embargo las empresas no se salvan de estos ataques, ya que en ellas conviven un gran número de individuos diariamente, las cuales acceden a sus cuentas bancarias desde sus estaciones de trabajo.

Cosas tan simples como mantener costumbres adecuadas de seguridad es la mejor manera de evitar que nuestros equipos de trabajo sean infectados por troyanos bancarios y otro tipo de códigos maliciosos.

Las buenas prácticas son cada vez más necesarias en las empresas y la mayoría de estas prácticas están asociadas a las formas más habituales de infección.

• Lo primero que recomendamos es rechazar el uso de cualquier programa pirateado o crackeado, ya que es una forma muy usada por los desarrolladores de malware para infectar los equipos.
• Evitemos descargar programas, archivos y todo aquello que provenga de sitios que no hayan sido calificados como seguros. En la actualidad todos los navegadores marcan los sitios que no usan certificados de seguridad encriptada (https) como “No seguro” como es el caso de Google Chrome, otros navegadores usan un candado rojo para advertir que la conexión no está cifrada, lo más recomendable es visitar sitios seguros.
• Los correos electrónicos continúan siendo un vector de ataque muy importante, ya que en ellos se pueden adjuntar archivos que contienen códigos maliciosos, para evitar los ataques por este medio lo recomendable es usar el sentido común y verificar que la proveniencia de esos archivos sean de contacto confiables, además puedes configurar las vistas de tu sistema operativo para que muestre las verdaderas extensiones de los archivos que recibimos; cabe destacar que existen soluciones especializadas como Correo Seguro.
• Si tienes una empresa con múltiples estaciones de trabajo lo más recomendable es que contrates un prestador de servicios de seguridad informática que cuente con sus propias redes de comunicación, con tecnologías que permitan crear reglas de seguridad que detecten estos malware de manera automática.