AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Robo de Credenciales Bancarias: Nuevo Infostealer Brasileño Combina Phishing y Propagación Worm

admin

Introducción

En el panorama actual de amenazas cibernéticas, los atacantes siguen evolucionando sus técnicas para maximizar el impacto y la evasión de controles de seguridad. Un nuevo infostealer, dirigido específicamente a hablantes de portugués brasileño, ha sido detectado combinando funcionalidades de phishing bancario, robo de datos y capacidades de propagación tipo gusano (worm). Esta amenaza presenta características únicas adaptadas al contexto brasileño, lo que pone en alerta tanto a entidades bancarias como a empresas con operaciones o usuarios en Brasil.

Contexto del Incidente o Vulnerabilidad

El malware, identificado en recientes campañas por equipos de threat intelligence, explota la popularidad de servicios bancarios digitales en Brasil, uno de los mercados financieros más dinámicos de Latinoamérica. Aprovecha tanto la ingeniería social como técnicas automatizadas para maximizar la captura de credenciales y la exfiltración de información sensible. El vector de ataque principal es la distribución por correo electrónico (phishing), aunque también se han observado infecciones a través de aplicaciones de mensajería instantánea y redes sociales, aprovechando la alta penetración de smartphones en el país.

Detalles Técnicos

El infostealer opera en varias fases:

1. **Phishing y descarga inicial**: El usuario recibe un correo en portugués brasileño, con mensajes personalizados y referencias culturales locales, aumentando la tasa de apertura y clics. El archivo adjunto o enlace lleva a la descarga de un ejecutable disfrazado de documento PDF o actualización bancaria.

2. **Payload y persistencia**: Tras la ejecución, el malware despliega dos módulos principales: un ladrón de credenciales bancarias y un worm de propagación. El ladrón monitoriza la actividad del navegador, identifica sesiones en portales bancarios populares en Brasil (como Banco do Brasil, Itaú, Bradesco y Caixa) y utiliza técnicas de webinject para interceptar credenciales y tokens de autenticación.

3. **Propagación worm**: El componente worm explora recursos compartidos en la red local y dispositivos USB, copiándose automáticamente en otras máquinas. Utiliza la explotación de vulnerabilidades conocidas en Windows (por ejemplo, CVE-2017-0144, EternalBlue) para facilitar la propagación lateral.

4. **Exfiltración y comandos remotos**: Los datos robados se exfiltran mediante canales cifrados HTTP/HTTPS hacia servidores de comando y control (C2) alojados fuera de Brasil. El malware puede recibir comandos adicionales, como la descarga de payloads secundarios o la activación de keyloggers.

5. **Indicadores de Compromiso (IoCs)**: Dominios C2 identificados, hashes de archivos maliciosos y patrones de tráfico anómalo han sido compartidos en plataformas como VirusTotal y MISP. El TTP se alinea con las técnicas de MITRE ATT&CK T1059 (Command and Scripting Interpreter), T1071.001 (Web Protocols) y T1086 (PowerShell).

Impacto y Riesgos

Las consecuencias de este infostealer son significativas:

– **Robo de credenciales bancarias**: Permite fraudes financieros inmediatos y ataques de suplantación de identidad.
– **Propagación lateral**: El componente worm aumenta la superficie de ataque y la velocidad de infección en entornos corporativos.
– **Exfiltración de datos sensibles**: Riesgo de violaciones de datos personales y corporativos, comprometiendo la confidencialidad y la integridad de la información.
– **Potencial para ataques dirigidos**: El control remoto del malware abre la puerta a la persitencia y ataques avanzados, como ransomware o spear phishing interno.

Se estima que, en las primeras semanas de actividad detectada, el malware ha afectado a más de 5.000 sistemas en Brasil, con pérdidas económicas superiores a los 2 millones de dólares, según datos preliminares de entidades financieras locales.

Medidas de Mitigación y Recomendaciones

Los profesionales de ciberseguridad deben tomar medidas inmediatas:

– **Actualización de sistemas**: Parches de seguridad aplicados especialmente para vulnerabilidades explotables en Windows (p.ej., MS17-010).
– **Bloqueo de IoCs**: Actualización de reglas en firewalls, proxies y soluciones EDR con los hashes y dominios identificados.
– **Segmentación de red**: Limitar la comunicación entre estaciones de trabajo y servidores para reducir la propagación lateral.
– **Concienciación y formación**: Campañas específicas para empleados y usuarios sobre phishing dirigido en portugués brasileño.
– **Monitorización avanzada**: Uso de SIEM y soluciones XDR para la detección proactiva de anomalías en tráfico saliente y comportamientos de procesos.
– **Backup y recuperación**: Políticas estrictas de backup offline para minimizar el impacto de infecciones masivas.

Opinión de Expertos

Analistas de amenazas señalan que este infostealer representa una evolución en el malware financiero tradicional brasileño, integrando técnicas de propagación tipo worm poco habituales en campañas regionales. Según Rafael Silva, investigador de ciberseguridad en Kaspersky, “el uso combinado de ingeniería social localizada y capacidades automatizadas de expansión convierte a esta amenaza en un reto difícil para las defensas tradicionales”.

Implicaciones para Empresas y Usuarios

Las organizaciones con operaciones o usuarios en Brasil deben fortalecer sus controles internos y procedimientos de respuesta ante incidentes. La legislación brasileña (LGPD) y la europea (GDPR) exigen la notificación de fugas de datos personales, lo que puede derivar en sanciones económicas y reputacionales. Además, la inminente aplicación de NIS2 en la Unión Europea refuerza la obligación de garantizar la resiliencia de los sistemas frente a amenazas emergentes.

Conclusiones

El surgimiento de este infostealer brasileño, con su enfoque híbrido de phishing, robo de credenciales y propagación worm, evidencia la sofisticación creciente del cibercrimen en mercados emergentes. La colaboración internacional, la inteligencia compartida y la actualización constante de controles tecnológicos y humanos son claves para mitigar el impacto de estas campañas. Las empresas deben actuar con rapidez para evitar daños financieros y legales significativos.

(Fuente: www.darkreading.com)