Los troyanos bancarios latinoamericanos son un tipo de malware que ataca a los usuarios de instituciones financieras para cometer fraude. Su objetivo es obtener las credenciales de acceso a sus cuentas bancarias sin que el titular se de cuenta que su información fue vulnerada.
Para lograr el ataque, los cibercriminales utilizan técnicas de phishing. La más común es enviar a las víctimas a una página manipulada a través de enlaces en la que deben introducir sus credenciales de acceso.
De acuerdo con ESET, una compañía de detección de amenazas, los troyanos latinoamericanos son una amenaza continua y en evolución que principalmente se dirigen a México, España y Brasil.
Hay ocho troyanos activos: Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban y Numando.
La investigación de la compañía señala que desde 2020 los troyanos Grandoreiro y Mekotio se expandieron a Europa, principalmente a España. Al inicio fueron pequeños ataques, no obstante, crecieron exponencialmente.
“En agosto y septiembre de 2021 Grandoreiro lanzó su mayor campaña hasta la fecha, dirigida a España. Mientras que Grandoreiro sigue dominando en España, Ousaban y Casbaneiro han dominado Brasil en los últimos meses. Mispadu parece haber cambiado su enfoque casi exclusivamente a México, ocasionalmente acompañado por Casbaneiro y Grandoreiro”, señaló la compañía.
Cómo son los ataques
Según la información recabada las campañas de los ciberdelincuentes suelen ser realizadas en oleadas y más del 90% de ellas se distribuyen a través de malspam. Una campaña suele durar como mucho una semana.
Durante el tercer y cuarto trimestre de 2021, se observó que Grandoreiro, Ousaban y Casbaneiro han aumentado enormemente su alcance en comparación con su anterior actividad.
Para lograr que sus ataques sean exitosos, los troyanos bancarios latinoamericanos buscan las siguientes condiciones:
-Las potenciales víctimas tienen que seguir ciertos pasos necesarios para instalar el malware en sus equipos.
-Las víctimas deben visitar uno de los sitios web que los atacantes tienen como objetivo e iniciar sesión en sus cuentas.
-Los operadores deben reaccionar ante esta situación y ordenar manualmente al malware que muestre la ventana emergente falsa y tome el control de la máquina de la víctima.
-Las víctimas no deben sospechar de la actividad maliciosa y posiblemente incluso tienen que introducir un código de autenticación.
ESET aseguró que desde que los troyanos bancarios latinoamericanos se expandieron a Europa los investigadores y las fuerzas policiales han puesto más atención en estos ataques.
Aunque la implementación de estos troyanos puede ser engorrosa los atacantes han encontrado el modo de hacer caer a sus víctimas. A diferencia de los troyanos bancarios más conocidos, los actuales no utilizan la inyección en el navegador web. En su lugar, diseñan una ventana emergente que probablemente sea un proceso mucho más rápido y sencillo.
De tal modo, los atacantes previamente hacen plantillas que modifican fácilmente para una lista de diferentes instituciones financieras, en donde copian los aspectos fundamentales como los colores y tipografía de la banca para lucir como páginas confiables y verídicas.
Cabe subrayar que sin la participación activa del atacante, el troyano bancario hará poco o ningún daño, aunque es posible que en el futuro los atacantes encuentren una forma de vulnerar a sus víctimas a pesar de que estas no interactúen con sus trampas.
“El descubrimiento más significativo en el curso de nuestra investigación es probablemente la expansión de Mekotio y Grandoreiro a Europa. Además de España, hemos observado pequeñas campañas dirigidas a Italia, Francia y Bélgica. Creemos que estos troyanos bancarios seguirán probando nuevos territorios para su futura expansión.”, señala Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
SEGUIR LEYENDO: