HayCanal.com

Una nueva campaña de malware bancario revela la evolución de las tácticas de los atacantes

Una nueva campaña de malware bancario revela la evolución de las tácticas de los atacantes

Se trata de una campaña que todavía está activa y que está afectando a usuarios de España y Portugal. En la misma, los cibercriminales están haciendo uso de recursos como el phishing, el geofencing, la esteganografía y las técnicas de evasión.

FortiGuard Labs, el centro de inteligencia e investigación de Fortinet, ha identificado una campaña activa de ciberdelincuencia dirigida a usuarios de España y Portugal mediante el troyano bancario Ousaban, una familia de malware capaz de robar información y permitir acciones de control remoto sobre los sistemas infectados.

La última campaña pone de manifiesto una evolución significativa en las tácticas utilizadas por los atacantes, que recurren a mecanismos de distribución altamente selectivos, controles de geofencing, esteganografía y C2 evasivo.

Aunque en un principio se asoció a ataques en Brasil, Ousaban ha llegado ahora a la Península Ibérica, centrándose específicamente en usuarios que acceden a servicios de banca online de varias entidades financieras de España y Portugal. Los investigadores han observado que los atacantes limitan cuidadosamente el acceso a la infraestructura maliciosa, asegurándose de que solo las víctimas previstas, ubicadas en los países objetivo, queden expuestas al malware.

Esta campaña demuestra cómo los grupos de ciberdelincuentes se están volviendo cada vez más sofisticados en la forma de llegar a sus víctimas. Al combinar el filtrado geográfico, el análisis del comportamiento y los mecanismos de distribución de malware en múltiples fases, los atacantes reducen significativamente la probabilidad de ser detectados, al tiempo que aumentan la eficacia de sus operaciones.

El ataque comienza con un archivo PDF de phishing diseñado para parecer un documento dañado. Se anima a las víctimas a hacer clic en un botón de «Actualizar», que las redirige a una página web maliciosa que se hace pasar por una fuente legítima de documentos fiscales e instaladores de software. Dicha página evalúa el idioma, la zona horaria, la dirección IP y otros indicadores del entorno del usuario antes de decidir si sigue adelante con el proceso de infección. A los usuarios que se encuentran fuera de España y Portugal se les bloquea el acceso.

Si la víctima cumple los criterios definidos por el atacante, se descarga un archivo malicioso de Visual Basic Script (VBS). Este script obtiene una imagen que contiene en secreto un archivo ZIP incrustado mediante técnicas de esteganografía. El archivo acaba instalando la carga útil del malware Ousaban, que oculta indicadores específicos y dificulta a los analistas la identificación de los criterios utilizados en dicha verificación.

Una vez instalado, Ousaban garantiza su permanencia en el sistema comprometido y supervisa activamente a las víctimas cuando estas acceden a servicios de banca online. Los investigadores han identificado funcionalidades dirigidas a un amplio conjunto de entidades financieras que operan en España y Portugal, entre las que se incluyen Santander, BBVA, CaixaBank, Banco Sabadell, Millennium BCP, Caixa Geral de Depósitos, Banco BPI y Novobanco, entre otras.

El malware ofrece a los atacantes un amplio abanico de capacidades, entre las que se incluyen la captura de pantalla, el control remoto de los dispositivos infectados, el seguimiento del teclado, la manipulación del portapapeles (clipboard) y la visualización de mensajes fraudulentos diseñados para inducir a los usuarios a revelar información confidencial. Las comunicaciones entre el malware y su infraestructura de comando y control (C2) se cifran mediante técnicas que se observan con frecuencia en los troyanos bancarios de América Latina.

FortiGuard Labs también ha observado el uso de dominios generados dinámicamente y que cambian a diario, lo que dificulta la detección de la amenaza y el rastreo de la infraestructura maliciosa.

Las conclusiones de esta investigación confirman la expansión de las campañas de malware bancario hacia nuevos mercados y la creciente sofisticación de la ciberdelincuencia motivada por el ánimo de lucro. Las organizaciones y los usuarios deben mantenerse alerta ante los intentos de phishing, asegurarse de que disponen de mecanismos de protección actualizados y fomentar la concienciación sobre las técnicas más comunes de ingeniería social.


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos