Los Troyanos financieros que interceptan y redireccionan transacciones desde las sesiones de banca en línea siempre han sido muy populares entre los cibercriminales. Estas campañas seguramente seguirán vigentes en el futuro, ya que en muchos casos los ataques siguen siendo efectivos. Hoy en día, el malware financiero ha evolucionado para evadir nuevas medidas de seguridad, como la autenticación de dos factores (2FA) y la banca móvil, para robar dinero a los usuarios de manera inadvertida.
Para estudiar los cambios en la estrategia para contrarrestar este tipo de amenazas, Symantec analizó nueve Troyanos financieros comunes y su actividad durante 2014. Para esta investigación, se extrajeron los archivos de configuración de 999 muestras recientes de malware. En esos archivos encontramos URLs que mostraron que los Troyanos se enfocan en clientes de 1,467 instituciones financieras de 86 países. Las 9 instituciones financieras que más aparecieron en la mira estuvieron presentes en los blancos de más del 40 por ciento de todos los Troyanos analizados. Alrededor del 95 por ciento de las amenazas se enfocaron en la institución financiera más atacada, la cual está basada en los EEUU.
Disminución en infecciones
El número total de detecciones de Troyanos financieros comunes disminuyó en un 53 por ciento durante 2014, mientras que el número de correos con phishing se redujo en un 74 por ciento. Los EEUU padecieron el mayor número de detecciones de Troyanos financieros, seguidos por el Reino Unido y Alemania. Algunas familias de amenazas como Trojan.Shylock casi desaparecieron, mientras otras, como la nueva modalidad de Infostealer.Dyranges, llenaron espacios en blanco. Algunos grupos de cibercriminales enfocaron sus esfuerzos en otros continentes, como Asia, y otros sistemas locales de pagos, como Boleto Bancário en Brasil.
Imagen. Número de infecciones a nivel mundial por Troyanos financieros comunes en 2014
¿Por qué la disminución?
Varios factores pueden influenciar que el malware financiero prevalezca en el entorno. La disminución en el número de detecciones en 2014 se puede atribuir parcialmente a algunos operativos y arrestos que se llevaron a cabo por parte de diferentes autoridades y agencias en conjunto con la industria de la seguridad. En varias ocasiones, los arrestos de autores de malware llevaron al fin del soporte para algunas familias de amenazas, lo que provocó que su uso disminuyera. El cibercrimen no desaparecerá de la noche a la mañana, pero los esfuerzos continuos de cooperación entre las autoridades y la industria privada complicarán la operación de los criminales.
Esta disminución también se podría atribuir a la manera en que los productos de Symantec y Norton detectan y bloquean las amenazas lo más temprano posible dentro de la cadena de infecciones. Hoy en día, la mayoría de los Troyanos financieros se distribuyen a través de exploit kits como Styx, Angler, y Nuclear, y contamos con la tecnología para detener estos kits antes de que puedan causar daño. En primer lugar, la reputación de nuestra tecnología URL puede prevenir a los usuarios al tratar de visitar páginas que cuentan con estos exploit kits. Además, nuestra tecnología de protección de navegadores puede bloquear estas amenazas que son distribuidas a través de dichos kits antes de que se descargue el malware en las computadoras. Esto lleva a menores detecciones de los Troyanos financieros actuales en las computadoras de los usuarios. Por ejemplo, las detecciones del exploit kit denominado Angler se triplicaron durante los últimos seis meses.
Pero no hay que relajarse, ya que los criminales continúan acechando y van detrás del dinero. Se enfocan en cada blanco potencial del cual puedan obtener una ganancia. No todos los ataques son efectivos, ya que los bancos han mejorado sus procesos internos antifraude para contrarrestar las amenazas. Pero algunos de los agresores todavía obtienen grandes ganancias mediante sus campañas.
Hubo un caso en Suiza, en el cual los criminales pudieron robar más de 1 millón de dólares a una víctima y enviaron el dinero a cuentas ubicadas en Polonia y China. De acuerdo con una investigación reciente, un grupo de delincuentes logró extraer más de 300 millones de dólares al hackear bancos y distribuir las transacciones, así como reconfigurar los cajeros automáticos para llevar el dinero a las calles. Esta técnica se asemeja a una que observamos a principios de 2014, cuando varios cajeros automáticos en México fueron configurados para otorgar efectivo al momento en que los criminales enviaban un mensaje de texto. Desde nuestro reporte inicial, el mismo malware y las técnicas se han esparcido a otros países, incluyendo Ucrania.
Protección
Los productos Symantec y Norton protegen a sus clientes mediante tecnología multicapa. La compañía recomienda los siguientes puntos para prevenir este tipo de ataques:
- Tener precaución al recibir correos no solicitados, inesperados y sospechosos
- Mantener actualizado el software antivirus y los sistemas operativos
- Habilitar características avanzadas de seguridad en cuentas, como 2FA, si está disponible
- Usar contraseñas sólidas en todas las cuentas
- Siempre cerrar las sesiones bancarias en línea al finalizarlas
- Permitir notificaciones de acceso a las cuentas, si están disponibles
- Monitorear constantemente estados de cuenta bancarios en busca de actividad sospechosa
- Notificar a la institución bancaria sobre cualquier comportamiento sospechoso que se presente al utilizar sus servicios
Para conocer más acerca del estado de los troyanos financieros en 2014, tenemos disponible un documento sobre este tema.
