Detectadas pautas de cooperación entre los ciberdelincuentes latinoamericanos que distribuyen malware bancario

Recomendados:  La persistencia del ransomware Webinar Creación de aplicaciones seguras: recomendaciones para los servicios financieros Leer

Los investigadores de Eset han analizado las pautas de colaboración e interconexión entre las diferentes familias de troyanos bancarios con origen en Latinoamérica, las cuales han estado afectando a numerosos usuarios en España y Portugal durante los últimos meses. El especialista en ciberseguridad ha detectado la existencia de diferentes familias de troyanos bancarios latinoamericanos con una sorprendente capacidad de cooperación entre los distintos delincuentes.

Todas estas familias tienen aspectos comunes. Entre las similitudes más claras se encuentra la implementación de los troyanos, que es prácticamente idéntica en sus funcionalidades básicas y en sus técnicas de ataque, basadas en ventanas emergentes fraudulentas diseñadas cuidadosamente para engañar a las víctimas con el objetivo de que estas den la información que buscan los atacantes. Además, las distintas familias de malware comparten librerías de terceros, algoritmos de cifrado de cadenas generalmente desconocidos y técnicas de ofuscación tanto de binarios como de cadenas.

Se han observado también otras similitudes en su forma de distribución. Los troyanos normalmente comprueban si existe algún marcador que indique si la máquina ya ha sido comprometida y descarga datos en archivos comprimidos ZIP. Eset también ha observado cadenas de distribución idénticas que distribuyen diferentes payloads y comparten métodos de ejecución.

Uno de los investigadores de Esetque centran su trabajo en la lucha contra el cibercrimen en Latinoamérica, Jakub Soucek, explica que “además, las diferentes familias utilizan plantillas similares en sus últimas campañas de propagación de emails, como si se tratara de un movimiento coordinad. “Como no creemos que autores independientes lleguen a las mismas ideas de forma tan evidente ni que haya un solo grupo capaz de mantener todas estas familias de malware, hemos llegado a la conclusión de que estos delincuentes están cooperando de forma cercana”.