Un informe de seguridad de IBM-X-Force, el ala de seguridad informática de IBM, ha revelado un nuevo malware dirigido a clientes bancarios que se hace pasar por un módulo de seguridad para obtener las credenciales de los usuarios.

Su nombre es CamuBot, y de momento, ha sido detecta principalmente en Brasil, donde los usuarios están siendo advertidos sobre la amenaza, que puede incluso añadir logotipos de los principales bancos brasileños y presentarse como una app de seguridad real para dichas instituciones. Además, el malware es capaz de obtener las contraseñas de un solo uso que se utilizan generalmente en la autenticación biométrica.

Los investigadores de IBM aseguraron en su informe que CamuBot fue detectado por primera vez el pasado mes de agosto, en un ataque que fue dirigido a clientes bancarios corporativos. En este sentido, la publicación asegura:

Los operadores del malware están utilizando activamente [CamuBot] para dirigirse a empresas y organizaciones del sector público, mezclando tácticas de ingeniería social y malware para evitar fuertes controles de autenticación y seguridad.

Los expertos creen que la forma en que se distribuye el malware se da de forma individual, es decir, es posible que los hackers obtengan primero información sobre sus objetivos individuales potenciales, a través de guías telefónicas o redes sociales, y posteriormente lancen el malware para obtener sus credenciales bancarias.

VORACLE, el nuevo ataque informático que puede robar datos de conexiones VPN

Sin embargo, ocurre algo antes del ataque, y es que los hackers se hacen pasar por empleados del banco en cuestión y realizan llamadas telefónicas para invitar a los usuarios a visitar una URL que posteriormente les será enviada para validar que su ‘módulo de seguridad’ se encuentra actualizado.

Luego, el sitio falso de verificación le pedirá una actualización falsa al usuario para continuar, donde se invita a descargar el software malicioso utilizando el administrador de Windows.

De esta forma, se descarga CamuBot y se presenta como una ventana emergente que luego redirige al usuario a un sitio que se muestra como el original del banco. Posteriormente se invita a las víctimas a iniciar sesión en sus cuentas y así comparten sus credenciales con los hackers.

Finalmente, los investigadores aseguraron que este malware es similar a Trickbot, QakBot o Dridex, todos distribuidos en Europa y apuntando igualmente a usuarios de la banca empresarial.

Más en TekCrispy