Saltar al contenido

Campaña de malware troyano contra nuevos bancos

Anteriormente, los ataques BackSwap tenían un alcance limitado, pero ahora la banda detrás de ellos podría estar preparándose para ataques mucho más amplios.

Un plan de malware para troyanos bancarios, muy probablemente dirigido por una banda de ciberdelincuentes, está incrementando sus operaciones al apuntar a varias instituciones financieras nuevas en una región que antes no estaba enfocada, en lo que los investigadores de seguridad advierten que podría ser una prueba para el lanzamiento de una campaña global.

El malware bancario BackSwap apareció por primera vez en marzo y funciona como otros troyanos en el sentido de que tiene como objetivo final robar datos bancarios y vaciar cuentas.

El código se basa en el del troyano Tinba, pero se ejecuta como un proyecto criminal completamente separado, con los que están detrás de BackSwap guardando el código para sí mismos – se cree que es propiedad de una banda criminal y no se distribuye comercialmente en foros clandestinos.

Inicialmente, el malware sólo se dirigía a bancos polacos, pero los investigadores de IBM X-Force han advertido de que ahora también se dirige a clientes de seis bancos españoles. La distribución todavía no está tan extendida, pero BackSwap podría estar preparándose para una gran campaña.

“El número limitado de bancos en cada país hasta ahora puede sugerir que BackSwap aún está en pruebas. Nuestro equipo de investigación espera ver más pruebas en otras zonas geográficas en las próximas semanas, y posiblemente un mayor alcance de ataque para este troyano en el cuarto trimestre de 2018”, dijo Limor Kessem, asesor ejecutivo de seguridad de IBM.

BackSwap suele entregarse a las víctimas mediante correos electrónicos de suplantación de identidad (phishing) de spam e incrustarse en un archivo adjunto malicioso que recupera y elimina la carga útil cuando se activa el documento. También es conocido por el malware que se esconde en versiones falsas de programas informáticos populares.

Una vez instalado en un sistema, el malware inyecta JavaScript en la barra de direcciones que puede utilizar para eludir las protecciones de seguridad tanto del navegador como de los controles de seguridad de terceros ejecutados por el propio banco.

BackSwap funciona como otros troyanos utilizando ataques de hombre en el medio para alterar lo que el usuario ve con el fin de robar información.

Se sabe que los atacantes alteran los números de cuenta de los destinatarios de las transferencias bancarias, desviando el pago (y los detalles) a sí mismos, mientras que al usuario se le presenta información que no indica que se haya cambiado nada, por lo que no son conscientes de que han sido víctimas de un ataque.

BackSwap actualmente no se encuentra entre las formas más prometedoras de troyanos bancarios, pero sigue siendo efectivo y si las campañas se hacen más grandes, podría fácilmente convertirse en una de las formas más frecuentes de malware financiero.

Dado que el malware suele enviarse a través de correos electrónicos de spam, los usuarios pueden evitar en gran medida que se conviertan en víctimas de BackSwap teniendo en cuenta los mensajes no solicitados y los archivos adjuntos de correo electrónico inesperados.

Los usuarios también pueden proporcionar un nivel adicional de protección contra este tipo de ataque asegurando que la autenticación de dos factores se active en su cuenta bancaria cuando sea posible.