Detectan operación activa de dos trojanos que buscan robar información bancaria de colombianos
Desde inicio de 2023 tres investigadores han advertido y detectado la operación de dos troyanos informáticos que son capaces de robar contraseñas bancarias.
En uno de los ataques se estarían usando más de 4 millones de datos que pertenecerían a un banco cooperativo colombiano, del cual no se conoce su nombre, y que se estarían utilizando para perfilar las víctimas ya que tienen datos como cédula, correo y celular de posibles víctimas.
Usuarios de las siguientes instituciones financieras deben estar alertar porque una de las investigaciones reveló qué los ataques específicamente van dirigidos a clientes de:
- Bancolombia
- Davivienda
- BBVA
- Colpatria (Banca Empresas)
- Banco Caja Social (Banca Empresas)
- Banco de Bogotá (empresarial)
- Av Villas, (Banca Empresas)
- Bancoomeva (Banca Empresarial)
Aunque existen varias formas de protección quizás la más importante sea ser conscientes de que existe la posibilidad de recibir un mensaje infectado y entregar a un ciberdelincuente la posibilidad del robo de datos.
Este tipo de ataques no son ciencia ficción. Son una realidad que explicaría muchas de las estafas que se cometen en Colombia a través del uso de la banca virtual. Es probable que muchas de las personas que lean este post hayan recibido uno de los tantos correos electrónicos que se envían para engañar a las personas.
Esta estrategia de robo digital al menos tiene cinco años de historia y ha evolucionado con mejor y más compleja tecnología.
BitRat, con perfilamiento de sus víctimas
Los investigadores de la empresa Qualys publicaron el pasado 3 de enero una investigación donde detectaron la activación y despliegue de un troyano llamado BitRat.
Aunque este software malicioso es un viejo conocido en el mundo digital las características del descubierto permiten concluir que se ha venido mejorando con el tiempo. Además, y lo más grave de todo, está usando información de un banco cooperativo colombiano del cual no se sabe su nombre y que pudo ser víctima de un robo de datos.
“Se han filtrado 4.18.777 filas de datos confidenciales de clientes con detalles como números de cédula , direcciones de correo electrónico, números de teléfono, nombres de clientes, registros de pagos, salarios, direcciones, etc”, explican los investigadores.
Con esta información los atacantes envían correos electrónicos con un archivo en Excel desde donde se descarga la infección.
La víctima sin darse cuenta y producto del engañoso archivo instala un software en su computador que puede comprometer su equipo.
Una vez la víctima es engañada, BitRat se instala en el sistema y puede controlar el dispositivo infectado a distancia. Se conoce que este troyano puede tener acceso a archivos y datos confidenciales. Así mismo es capaz de robar información de contraseñas.
La lista de ocho bancos que publicamos al inicio de este post, donde los investigadores advierten qué clientes de bancos pueden estar afectados, surge precisamente al analizar el código de este software malicioso.
QuasarRAT, solo para colombianos
Checkpoint, otra empresa de investigadores, detectó el segundo troyano que estaría buscando víctimas colombianas. Su nombre es QuasarRAT.
Este software malicioso tiene como característica principal que es capaz de detectar la ubicación de su presa y gracias a ello efectúa un ataque a solo víctimas que están ubicadas en Colombia o Ecuador.
QuasarRat es un trojano de código abierto y se encuentra disponible en repositorios públicos de código. Por esta razón ha venido mejorando su comportamiento con el tiempo.
Se cree que el grupo Blind Eagle está detrás del despliegue de esta ataque digital.
Los expertos han detectado que esta troyano se difunde gracias a correos falsos de instituciones de gobierno como este:
En un sondeo en Twitter se observa que a varios colombianos les sigue llegando el mismo mensaje.
También se estaría utilizando un correo emitido por Bogotá donde se advierte incumplimiento en Pico y Placa.
En 2019 otra investigación documentó algunos de los archivos que eran enviados a las víctimas. Son archivos en word donde se puede habilitar la instalación de Macros y por consiguiente se hace la infección.
Medidas básicas de seguridad:
- Se recomienda mantener actualizado el antivirus
- Revisión con detalle de correos que sean enviados por entidades públicas. Doble cuidado con archivos adjuntos. Ante la duda lo mejor es abstenerse de abrir correos adjuntos. Es mejor verificar doble vez por otros canales como la llamada telefónica.
- Evitar la descarga de archivos ejecutables .EXE o DMG de fuentes no confiables
- Instalar parches de seguridad de los sistemas operativos
El troyano que viaja por correo
Un troyano es un software malicioso que aparente ser legítimo pero en realidad su función principal es infectar un dispositivo.
Este tipo de ataque engaña a la víctima y se puede presentar en diferentes e ingeniosas formas. Puede ser un link, pero también se presenta en forma de archivo de Word, Excel o PDF falso. En el ataque que se despliega en Colombia se registra como un correo falso de entidades como la Dian o Migración Colombia.
De hecho, históricamente los trojanos que se difunden en Colombia han usado correos falsos de entidades como Dane, Policía Virtual, Fiscalía General de la Nación, Registraduría, entre otras.
Pingback: Suplantan a la Dian para desplegar operación de espionaje y robo de información dirigido a entidades públicas – MuchoHacker.LOL
Pingback: Ataque masivo intenta instalar malware en computadores de ciudadanos que tienen algún tipo de relación con la Dian – MuchoHacker.LOL