Alertan sobre un virus bancario que vacía las cuentas de las víctimas

Expertos en seguridad informática ofrecen sus recomendaciones.
<a href="https://elintransigente.com/sociedad/2019/05/02/alertan-de-un-virus-bancario-que-vacia-las-cuentas-de-las-victimas/" rel="bookmark"><time class="entry-date published updated" datetime="2019-05-02T11:15:07-03:00">mayo 2, 2019</time></a>

Los especialistas de seguridad informática de Argentina y Chile se encuentran en alerta después de un nuevo ataque de parte de un programa malicioso que intenta generar una puerta de ingreso oculta a la computadora de la víctima para ser usada por los atacantes y así tener acceso al homebanking y robar todo el dinero almacenado en sus cuentas bancarias. Para evitar caer en estas trampas, los informáticos den sus recomendaciones.

Según explicó Germán Fernández, experto en ciberseguridad chileno, en sus redes sociales, el ataque inicia con el envío de un correo malicioso que simula el envío de una factura a pagar o de archivos en formato Word, Excel, Power Point o PDF. A partir de allí, se infecta el dispositivo tecnológico que se encuentra utilizando la víctima y los delincuentes se hacen con el acceso no sólo de los usuarios sino también de la contraseña del homebanking.

El virus opera de la siguiente forma: cuando el usuario abre el documento, se instala automática el software FlawedAmmy, que a su vez descarga otros dos archivos. El primero de ellos se encarga de recopilar todos los correos electrónicos almacenados en el equipo para construir bases de datos y seguir distribuyendo el código malicioso. El otro, denominado Amadey, permite a los atacantes realizar múltiples tareas, como por ejemplo descargar y ejecutar malware adicional, robar inicios de sesión, registrar teclas pulsadas, robar accesos y claves de transferencias bancarias e incluso la instalación masiva de ransomware.

ANte este escenario, los especialistas en informática compartieron un serie de recomendaciones de seguridad para evitar ser víctimas de estos ataques. En primer lugar sugieren tener actualizado el software de seguridad o antivirus del equipo. Además, recomiendan no abrir documentos adjuntos de remitentes desconocidos. Por último, aconsejan no deshabilitar las funciones de seguridad del programa encargado de proteger el dispositivo.

El malware fue alertado por la empresa de ciberseguridad ProofPoint, al detectar que el grupo ruso de ciberdelincuentes llamado TA505 desarrolló un programa malicioso como son FlawedGrace, FlawedAmmy y ServHelper, y se encuentra haciendo campañas de correos electrónicos de phising dirigidos a la Argentina y a Chile. La empresa ya había denucniado con anterioridad la existencia de esta nueva variedad del malware, a la que llamó ServHelper, durante todo el año pasado.

Según explicaron especialistas del tema, se trata un programa escrito en Delphi (un IDE, entorno de desarrollo integrado) y definido por la compañía como un “backdoor”; esto quiere decir que el programa intenta generar una puerta de entrada no intencional para ser usada por los atacantes. Uno de los investigadores encargado del caso informó que, hasta el momento, el grupo de hackers ya recopiló 509.540 mails desde el disco y 1.590.035 mails recopilados desde clientes de correo.

El mismo investigador también denunció otra campaña, que utiliza un troyano de acceso remoto, es decir una pieza de software malicioso que permite al atacante controlar la computadora infectada. La forma de proceder sería la misma, tras recopilar la información de los mails, los hackers estarían en posición de comandar la computadora, descargar e instalar demás programa maliciosos y exfliltrar información sensible.