Diario TI | 2 de octubre, 2020 – Investigadores de ESET han analizado las pautas de colaboración e interconexión entre las diferentes familias de troyanos bancarios con origen en Latinoamérica, las cuales han estado afectando a numerosos usuarios en España y Portugal durante los últimos meses. Aunque pueda parecer un grupo único, ESET ha detectado la existencia de diferentes familias de troyanos bancarios latinoamericanos con una sorprendente capacidad de cooperación entre los distintos ciberdelincuentes.
“Durante el último año hemos estado publicando mucha información sobre las familias de troyanos bancarios con origen en Latinoamérica”, afirma Jakub Soucek, uno de los investigadores de ESET que centran su trabajo en la lucha contra el cibercrimen en Latinoamérica. “Ahora hemos analizado estas familias desde una perspectiva de alto nivel en lugar de detenernos en los detalles y hemos encontrado lo que todas ellas tienen en común”.
Entre las similitudes más claras se encuentra la implementación de los troyanos, que es prácticamente idéntica en sus funcionalidades básicas y en sus técnicas de ataque, basadas en ventanas emergentes fraudulentas diseñadas cuidadosamente para engañar a las víctimas con el objetivo de que estas den la información que buscan los atacantes. Además, las familias de malware comparten librerías de terceros, algoritmos de cifrado de cadenas generalmente desconocidos y técnicas de ofuscación tanto de binarios como de cadenas. Se han observado también otras similitudes en su forma de distribución. Los troyanos normalmente comprueban si existe algún marcador que indique si la máquina ya ha sido comprometida y descarga datos en archivos comprimidos ZIP. ESET también ha observado cadenas de distribución idénticas que distribuyen diferentes payloads y comparten métodos de ejecución.
“Además, las diferentes familias utilizan plantillas similares en sus últimas campañas de propagación de emails, como si se tratara de un movimiento coordinado”, afirma Soucek. “Como no creemos que autores independientes lleguen a las mismas ideas de forma tan evidente –ni que haya un solo grupo capaz de mantener todas estas familias de malware–, hemos llegado a la conclusión de que estos delincuentes están cooperando de forma cercana”.
Fotografía de Priscilla Du Preez vía Unsplash