El 'malware' bancario CamuBot elude la autenticación biométrica
El malware es capaz de camuflarse a sí mismo para pasar desapercibido como software legítimo de seguridad bancaria con el fin de no levantar sospechas.
Cada vez resulta más habitual encontrarse con malware bancario, incluyendo troyanos, que roban las credenciales online de personas, graban pantallas, o permanecen sin ser detectados en los equipos el mayor tiempo posible. Se nos viene a la cabeza nombres de malware como TrickBot, Dridex, Emotet, BackSwap o MysteryBot, cada uno de ellos con sus peculiaridades y variantes para recopilar la información de sus víctimas, robar credenciales o perpetrar un ataque posterior.
Uno de los más recientes que ha sido detectado ha sido bautizado como CamuBot. El malware es capaz de camuflarse a sí mismo para pasar desapercibido como software legítimo de seguridad bancaria con el fin de no levantar sospechas. Según han desvelado investigadores de IBM X-Force, el código malicioso suplanta los módulos de seguridad requeridos por entidades financieras para operar dentro de la banca comercial online. Los bancos más afectados parecen haber sido los brasileños desde que levantase sospechas el pasado mes de agosto. La cepa detectada por IBM se produjo en base a una serie de ataques dirigidos que fueron lanzados contra empresas y organizaciones del sector público.
Se dice que tiene la capacidad de eludir la autenticación biométrica haciéndose pasar por un empleado del banco y dirigiendo a la víctima a un dominio en red determinado para verificar el estado de uno de los módulos de seguridad. El software que se hace pasar por legítimo, solicita a la víctima que instale un nuevo módulo de seguridad, el cual contiene en su interior el troyano descrito como CamuBot.
Según IBM, el malware es capaz de buscar e instalar controladores para dispositivos de autenticación y los operadores pueden pedir a las víctimas que habiliten el uso compartido remoto. Esto, a su vez, permite a los atacantes cibernéticos interceptar y robar contraseñas de un solo uso generadas para la autenticación. Los investigadores de ciberseguridad dicen que la mayoría de los ataques se están llevando a cabo en Brasil, y aunque no se han detectado infecciones por CamuBot en otros países, esto puede cambiar en el futuro
CamuBot es capaz de crear nuevas reglas de firewall y antivirus para hacerse pasar como un programa confiable. La comunicación se establece con el atacante a través de un proxy basado en SSH. Posteriormente, el reenvío de puertos se habilita y usa un túnel bidireccional entre el dispositivo del cliente y el servidor del atacante. Este túnel permite a los atacantes dirigir su propio tráfico a través de la máquina infectada y usar la dirección IP de la víctima cuando accede a la cuenta bancaria comprometida. Especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética consideran que el modo de operación de CamuBot es más sofisticado que el de cualquier malware bancario común, lo que lo convierte en una seria amenaza para empresas del sector.
