Easy Solutions advirtió que el troyano bancario sucesor de Dyre, Trickbot, ha expandido su alcance atacando bancos en Latinoamérica y Estados Unidos.
Este troyano ha sido el responsable de ataques Man-in-the-Browser (MitB) desde 2016. Anteriormente, los ataques estaban dirigidos principalmente contra organizaciones fuera de EE.UU. Sin embargo, ahora la capacidad de inyección web del malware está apuntando a instituciones financieras de EE.UU y además no ha dejado de ser una preocupación para Latinoamérica.
En su investigación publicada el 17 de julio, Flashpoint indicó que 50 bancos sólo en Estados Unidos son blanco de una nueva campaña de Trickbot llamada “mac1”, además de otras campañas en 23 países.
El factor de infección al parecer es spearphishing: Las víctimas reciben emails falsos con archivos adjuntos Windows Script File (WSF) comprimidos en ZIP, los cuales contienen código JavaScript ofuscado. Cuando se abre el archivo, el malware Trickbot es descargado desde la URL publicada hoy en Pastebin.
Muchas de las URL usadas por Trickbot son equipadas con redirección personalizada, llevando a la víctima a un sitio web falso. El malware contacta la página genuina del banco y mantiene con esta una conexión en vivo, permitiéndole a la página falsa mostrar la URL correcta del banco en la barra de dirección al igual que el certificado genuino del banco. Al mostrar la URL real, se reducen las sospechas que se pueden generar en las víctimas del ataque.
El precio de las credenciales bancarias en mercados negros es muy alto, especialmente en comparación con credenciales de Netflix y Uber o números de tarjeta de crédito, las cuales están reduciendo su valor. Esto representa una evolución normal en la clase de datos que buscan los cibercriminales. Desde 2013, el precio de los números de tarjetas de crédito robadas ha disminuido bastante.
Las instituciones financieras necesitan tomar un enfoque proactivo al momento de combatir amenazas contra las credenciales de sus usuarios. Actualmente no es suficiente disponer defensas que detecten cuando haya credenciales comprometidas al momento de que el usuario inicie sesión en un portal bancario online. La implementación de un protocolo DMARC, por ejemplo, puede ayudar a bloquear emails maliciosos que suplanten una marca, previniendo que el usuario siquiera reciba correos de phishing.
Además, una efectiva detección y protección a nivel de estación de trabajo, navegador, y móvil puede brindar alertas tempranas para que los bancos eleven su nivel de riesgo si detectan un ataque. Tecnología avanzada puede detectar si la sesión web de un usuario está siendo manipulada, ya sea por inyección web o por redirección. Inclusive, la protección enfocada en malware similar a Trickbot puede ayudar a prevenir que estas amenazas sean descargadas al poner en listas negras las URL que las contienen.
Este ataque es un buen recordatorio de que las instituciones financieras necesitan estar más listas que nunca para enfrentar este tipo de amenazas. A medida que las estrategias de los atacantes se vuelven más sofisticadas y las credenciales bancarias continúan valorizándose cada vez más, estos ataques seguirán ocurriendo.
