Nueva variante de malware causa estragos en bancos de todo el mundo

Otra pesadilla para Samsung: las baterías defectuosas incendiaron una de sus fábricas
Otra pesadilla para Samsung: las baterías defectuosas incendiaron una de sus fábricas
8 Febrero, 2017
Ransomware en 2016: 638 millones de ataques en el año
Ransomware en 2016: 638 millones de ataques en el año
9 Febrero, 2017
Mostrar todos

Nueva variante de malware causa estragos en bancos de todo el mundo

Nueva variante de malware causa estragos en bancos de todo el mundo

Cajero automático,Kaspersky,Malware,Seguridad informática,Stuxnet

Calculo que nuestros lectores todavía deben recordar a Stuxnet, un gusano que de acuerdo a diferentes fuentes fue desarrollado en conjunto por Estados Unidos e Israel con el objetivo de sabotear al programa nuclear iraní. Stuxnet poseía recursos técnicos muy interesantes y a la vez preocupantes, pero era cuestión de tiempo para que sugieran variantes con un funcionamiento similar. Eso es exactamente lo que ha descubierto la gente de Kaspersky. Este «malware sin archivos» tiene la capacidad de permanecer residente en memoria sin dejar rastros, y al parecer le gustan mucho las redes corporativas…

Nueva variante de malware causa estragos en bancos de todo el mundo

La historia comenzó con Stuxnet, después siguió con Duqu, y a mediados de 2015 se descubrió a Duqu 2.0. Lo que en un principio fue tecnología exclusiva de agencias gubernamentales con un presupuesto de muy alto nivel, ahora llegó a manos de otros elementos que buscan resultados un poco más tangibles… dinero, para ser precisos. Los expertos en seguridad llaman a esta reciente ola de malware «fileless», ya que tiene como prioridad permanecer residente en memoria, sin dejar rastros en los discos duros, u ocultarlos de la mejor forma posible. Dicha estrategia no sólo hace al malware casi invisible, sino que obliga a repensar todas las técnicas forenses tradicionales.

Una muestra del script usado para inyectar Meterpreter en memoria

La gente de Kaspersky explica que las infecciones son aún más complicadas de detectar debido al uso de herramientas consideradas legítimas, como por ejemplo Metasploit, Mimikatz, y hasta el propio PowerShell de Windows. La compañía también indicó que los ataques afectaron a las redes de al menos 140 organizaciones, siendo la mayoría de ellas bancos. Estados Unidos, Francia, Ecuador, Kenia y el Reino Unido forman el Top 5 de los países más afectados. Algo que Kaspersky no ha podido determinar aún es si el responsable es un solo grupo, o si se trata de varios equipos en una carrera para ver quién tiene más éxito.

La mayoría de las infecciones se registraron en los Estados Unidos, pero no parece haber un patrón claro…

Básicamente, la función principal del malware (o al menos una de ellas) es la «cosecha» de contraseñas. Todo comienza con la inyección en memoria de Meterpreter (uno de los payloads de Metasploit) utilizando comandos PowerShell. Luego, el sistema infectado transmite los datos a servidores controlados por el atacante con la herramienta NETSH. Y los privilegios necesarios para estas acciones son extraídos con Mimikatz. En un intento por reducir su huella y evitar logs o archivos descartados en el disco duro, los atacantes «esconden» los comandos PowerShell dentro del registro de Windows. Kaspersky pudo realizar su reconstrucción del malware gracias a que uno de los controladores de dominio infectados con Meterpreter no fue reiniciado. Lo que aún debe establecer Kaspersky es cómo ingresa el malware en primer lugar, pero ya anticipó que tendrá más información en abril, incluyendo la forma en la que estas infecciones permiten retirar dinero de los cajeros automáticos.

Lisandro Pardo

Fuente: www.neoteo.com
Contáctenos

Miraflores, Lima, Perú

Avenida José Pardo 582, oficina 205, Miraflores
Miraflores, Lima
+51 970771094
+51 6057735

Valencia, España

Carrer de José Iturbi, 1,
46950 Xirivella, Valencia
Cel: +34 605839188

New York, USA

70 E 116 St Manhattan, NY 10029
Cel: +1 347-531-7864
Tel: +1 212-860-3202

Yucatan, México

Calle 33ᴮ 544
García Ginerés
97070 Mérida, Yuc.
Tel: +52 9993541743
Vex Soluciones es una reconocida empresa de servicios IT cómo: Software / Sistemas web en la nube / Apps con presencia internacional. Perú, España, USA, Canada, México, Chile, Colombia, Argentina, Uruguay, Bolivia, Costa Rica, Puerto Rico, Republica Dominicana, Ecuador.
ventas@vexsoluciones.com