troyano bancario

All posts tagged troyano bancario

malspam.png

Olvídate de los archivos adjuntos, la mayoría del malspam estos días contiene una URL maliciosa

La nueva generación de MalSpam, en lugar de una serie de archivos adjuntos maliciosos, contiene solamente una gran cantidad de enlaces que son los que te llevan directamente a los enlaces que te descargarán estos archivos. En el siguiente post te damos los detalles.

El MalSpam se adapta

Según la telemetría recopilada por la firma de ciberseguridad Proofpoint, la mayoría de los correos no deseados (MalSpam) enviados en la primera mitad del año contienen enlaces a archivos maliciosos, en lugar de archivos adjuntos.

Más precisamente, el 85% de todos los malspam enviados en el segundo trimestre de 2019 (abril, mayo y junio) contenían un enlace a una descarga de archivos maliciosos, en lugar del archivo malicioso real adjunto al correo electrónico.

Si la mayoría del contenido de malspam enviado en estos días aprovecha los enlaces maliciosos, esto significa que los operadores obtienen más clics e infecciones en comparación con la técnica clásica de adjuntar archivos a correos electrónicos.

«Si bien la razón del dominio continuo de las URL puede deberse a una variedad de factores, es probable que la mayoría de los usuarios finales hayan sido condicionados a sospechar de los archivos adjuntos en correos electrónicos no solicitados. Las URL, por otro lado, son cada vez más comunes en el correo electrónico comercial, ya que regularmente recibimos notificaciones de archivos compartidos y actualizaciones de colaboración por correo electrónico a medida que las organizaciones se trasladan a la nube«, dijo Proofpoint.

Los hallazgos de Proofpoint deberían tener repercusiones en todo el mercado de ciberseguridad. Las empresas que proporcionan capacitación contra el phishing deben ser las que tomen notas y adapten los cursos en consecuencia, centrándose en preparar a los empleados para esta tendencia reciente.

Sin embargo, la educación y capacitación de los empleados ayuda. Y es que un informe anterior de Proofpoint descubrió que el 99% de todos los ataques cibernéticos basados ​​en correo electrónico requieren interacción humana, es decir, que el objetivo abre archivos, hace clic en enlaces o realiza algún otro tipo de acción. Con un poco de capacitación, se puede enseñar a los empleados a reconocer y evitar ser víctimas de estos ataques. Otros hallazgos del Informe de amenazas Proofpoint Q2 2019, publicado a principios de este mes, incluyen:

  • El 57% de todos los MalSpam usan suplantación de dominio.
  • El malware basado en botnet fue la carga útil de malware más popular enviada a través de campañas de MalSpam, representando el 37% de todos los correos electrónicos.
  • El malware de botnet fue seguido por troyanos bancarios (23%), InfoStealers (16%), cargadores de malware (8%), troyanos de acceso remoto (6%) y troyanos backdoor (5%).
  • Como en los últimos trimestres, el ransomware estuvo prácticamente ausente en el segundo trimestre.
  • Ursnif representó el 80% de todas las cargas útiles de troyanos bancarios enviados por correo electrónico. Fue seguido por URLZone, The Trick y Dridex.
  • El ranking de InfoStealer tenía a Pony al frente, seguido de AZORult, Loki Bot y Formbook.

¿Qué es el MalSpam?

Ejemplo de phishing email.
Los enlaces ofuscan o modifican su destino.

MalSpam, o spam malicioso, es un método muy popular y efectivo para enviar correos electrónicos en masa que contengan archivos infectados o enlaces que redirigen a los usuarios a sitios web que contienen éstos kits de explotación.

Referencia: https://www.zdnet.com/article/most-malspam-contains-a-malicious-url-these-days-not-file-attachments/

leer más
Diarleth G.Olvídate de los archivos adjuntos, la mayoría del malspam estos días contiene una URL maliciosa
00-1.jpg

Anubis está descontrolando las plataformas bancarias

No cabe duda que el hackeo y robo a bancos sigue siendo una industria muy lucrativa y atractiva. Se han descubierto más de 17,000 nuevas muestras de malware bancario Android de Anubis que están dirigidas a un total de 188 aplicaciones financieras y bancarias. El atacante detrás del desarrollo de Anubis ha estado activo durante al menos 12 años, y para mantenerse al día, ha actualizado el malware para su uso en nuevas oleadas de ataques. Así lo confirmaron diversos investigadores de Trend Micro.

Anubis está descontrolando las plataformas bancarias

El troyano bancario Anubis se encuentra a menudo en las campañas de ingeniería social y phishing, en las que las víctimas involuntarias son atraídas a descargar aplicaciones maliciosas que contienen el malware. En total, Trend Micro ha encontrado 17.490 muestras nuevas de malware en dos servidores relacionados. Anubis ahora se enfoca en 188 aplicaciones bancarias y financieras móviles legítimas, ubicadas principalmente en los Estados Unidos, India, Francia, Italia, Alemania, Australia y Polonia.

Mapa con distribución geográfica y porcentual de las aplicaciones atacada por malware Anubis
Distribución geográfica de las aplicaciones atacada por malware Anubis

Si una víctima descarga y ejecuta una aplicación Anubis que se hace pasar por un servicio legítimo, se está exponiendo a una amplia variedad de capacidades de secuestro del malware. Anubis puede tomar capturas de pantalla, grabar audio, enviar, recibir y borrar mensajes SMS, robar listas de contactos y credenciales de cuenta, abrir URL (posiblemente para descargar cargas útiles adicionales) y también puede deshabilitar Google Play Protect.

Además, el troyano bancario puede saquear las configuraciones más profundas de un dispositivo comprometido al habilitar o manipular las configuraciones de administración del dispositivo, ver las tareas en ejecución y crear una puerta trasera para el control remoto a través de la computación de red virtual (VNC).

A medida que el malware fue evolucionando, el desarrollador también fue agregando una característica similar al Ransomware; la capacidad de cifrar archivos almacenados en un dispositivo móvil y su tarjeta SD conocida como AnubisCrypt. Asimismo, Anubis puede recibir comandos de plataformas de redes sociales, como Twitter y aplicaciones de mensajería como Telegram. Los operadores del malware han estado utilizando los enlaces cortos de Twitter y Google para enviar comandos remotos al malware. La mayoría de los cuales parecen ser de Turquía, de acuerdo con la configuración de idioma utilizada por las cuentas de redes sociales que envían comandos.

Una vez que se han aceptado los comandos, Anubis puede secuestrar dispositivos, robar datos y enviar información a los servidores de comando y control (C2) que se han extendido por todo el mundo. Las nuevas variantes también pueden detectar si se están ejecutando en máquinas virtuales (VM), una forma común para que los investigadores desempaqueten y analicen con seguridad el malware. En el caso de Anubis, esto también incluye emuladores de Android como Genymotion.

Anubis no es la única variante de malware para Android que se está mejorando y perfeccionando constantemente por sus desarrolladores. Hace un par de semanas atrás, los investigadores de Fortinet dijeron que BianLian, que comenzó su vida como un ayudante para Anubis ahora es un troyano bancario establecido por su propia cuenta, y está logrando evitar las protecciones de Android de Google para propagar su código malicioso.

Las variantes recientes de BianLian tienen un nuevo módulo de captura de pantalla que le da a los atacantes la oportunidad de monitorear la pantalla de un dispositivo comprometido y robar información, incluidos los nombres de usuario y las contraseñas.

leer más
Diarleth G.Anubis está descontrolando las plataformas bancarias