AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nuevo malware explota el framework UIA para atacar bancos y exchanges de criptomonedas en Brasil

admin

#### Introducción

En las últimas semanas, analistas de ciberseguridad han detectado una oleada de ataques dirigidos contra entidades bancarias y plataformas de intercambio de criptomonedas en Brasil, orquestada mediante una nueva variante de malware que explota el framework de Automatización de Interfaz de Usuario (UIA, por sus siglas en inglés). Este es el primer caso documentado de abuso de esta tecnología para fines maliciosos, lo que marca un punto de inflexión en las tácticas empleadas por actores de amenazas en la región.

#### Contexto del Incidente

El framework UIA es una API de Windows diseñada para facilitar la accesibilidad y la automatización de tareas en aplicaciones gráficas. Tradicionalmente, su uso se ha limitado a desarrolladores de software y herramientas legítimas de automatización, como soluciones de pruebas o utilidades para personas con discapacidades. Sin embargo, investigadores de distintas firmas de ciberseguridad han identificado que grupos de amenazas brasileños han comenzado a explotar esta funcionalidad para manipular interfaces bancarias y de exchanges de criptomonedas, evadiendo mecanismos convencionales de detección.

Desde marzo de 2024, se han registrado al menos 40 incidentes confirmados que han afectado a bancos y plataformas de criptomonedas, con pérdidas estimadas en más de 3,5 millones de dólares, según fuentes locales. El uso del framework UIA representa una evolución respecto a técnicas clásicas de malware bancario, como el keylogging o la manipulación de formularios web.

#### Detalles Técnicos

El malware, aún sin un identificador CVE asignado, opera desplegando cargas maliciosas que abusan de la API UIAutomationClient.dll, presente en todas las versiones modernas de Windows (Windows 10, 11 y Server 2016 en adelante). Su cadena de infección suele comenzar con correos de phishing que contienen archivos adjuntos ofuscados o enlaces a descargas de payloads en PowerShell.

Una vez ejecutado, el malware utiliza el framework UIA para:

– Enumerar y manipular controles de la interfaz gráfica de aplicaciones bancarias y de exchanges.
– Automatizar el ingreso de credenciales y la transferencia de fondos sin requerir la intervención del usuario.
– Capturar información sensible directamente de la interfaz, eludiendo mecanismos de protección como el clipboard protection o virtual keyboards.

Entre las TTP identificadas en el marco MITRE ATT&CK, destacan:

– **T1055 – Process Injection**: El código malicioso se inyecta en procesos legítimos para acceder a la UIA.
– **T1566 – Phishing**: Vector de infección inicial.
– **T1218 – Signed Binary Proxy Execution (sbiexec)**: Uso de binarios legítimos de Windows para ejecutar la carga útil.
– **T1047 – Windows Management Instrumentation**: Supervisión y persistencia.

Algunos indicadores de compromiso (IoC) revelados incluyen hashes SHA256 de los ejecutables, direcciones IP de C2 ubicadas principalmente en Brasil y Europa del Este, y el uso de canales cifrados TLS para la exfiltración de datos.

No se ha detectado aún la integración de este vector en frameworks públicos como Metasploit o Cobalt Strike, aunque expertos alertan de la posibilidad de que sea sólo cuestión de tiempo.

#### Impacto y Riesgos

El impacto de este malware es significativo, ya que permite a los atacantes sortear múltiples capas de protección, incluyendo autenticación multifactor (MFA), al operar directamente sobre la interfaz de las aplicaciones víctimas. Los bancos y exchanges afectados han reportado transacciones fraudulentas no detectadas por sus sistemas antifraude habituales.

La sofisticación de la técnica dificulta la detección mediante soluciones EDR tradicionales, ya que los procesos implicados suelen ser legítimos y el abuso de UIA no genera comportamientos anómalos evidentes en el sistema operativo.

En términos de cumplimiento, incidentes de este tipo pueden suponer infracciones a la GDPR y a la inminente directiva NIS2, especialmente por la exposición de datos personales y el impacto en servicios esenciales.

#### Medidas de Mitigación y Recomendaciones

Los profesionales del sector deben considerar las siguientes acciones:

– **Monitorización avanzada**: Implementar detección basada en comportamiento para identificar automatizaciones no autorizadas en la UI.
– **Restricción de UIA**: Limitar el acceso a la API UIA a usuarios y procesos estrictamente necesarios mediante políticas de grupo (GPO).
– **Actualización de firmas y reglas YARA**: Incorporar los IoC identificados en las plataformas SIEM y EDR.
– **Concienciación y simulación de phishing**: Reforzar la formación interna ante campañas de ingeniería social.
– **Revisión de logs de acceso y movimientos de fondos**: Especialmente en los sistemas core banking y exchanges.

#### Opinión de Expertos

Especialistas en análisis de malware destacan la creatividad de los atacantes al emplear UIA, una técnica poco explorada hasta ahora. “Estamos ante una evolución natural del malware bancario. La automatización de interfaces representa un desafío técnico de primer orden para los equipos de defensa, ya que rompe con el enfoque tradicional de detección”, señala Rafael Souza, investigador de amenazas en Kaspersky Brasil.

Desde el sector legal, se subraya la necesidad de adaptar las políticas de respuesta a incidentes para cumplir con los requerimientos de notificación temprana que impone la GDPR y, en breve, la NIS2.

#### Implicaciones para Empresas y Usuarios

La aparición de este vector de ataque obliga a las entidades financieras y proveedores de servicios digitales a revisar en profundidad sus políticas de seguridad y monitoreo. Los usuarios finales también se ven expuestos, ya que el malware puede operar de forma transparente, sin mostrar signos evidentes de compromiso.

El sector bancario brasileño, históricamente uno de los más atacados a nivel global, podría ser sólo el primer objetivo antes de una expansión internacional de esta técnica.

#### Conclusiones

El abuso del framework UIA para automatizar ataques contra aplicaciones bancarias y de criptomonedas supone un salto cualitativo en la ciberdelincuencia financiera. Esta técnica, hasta ahora inédita, pone de manifiesto la constante evolución de los atacantes y la necesidad de una vigilancia proactiva por parte de los equipos de ciberseguridad. La colaboración entre entidades, el intercambio de IoC y la adaptación de las medidas defensivas serán clave para contener una amenaza que, previsiblemente, se internacionalizará en los próximos meses.

(Fuente: www.darkreading.com)