Como me temía, en Colombia las empresas y entidades no actúan hasta que en verdad no les pasa algo; y esto es para todo tipo de empresa y en cuestiones de seguridad de la información son peor!!!
Ya mucho se ha publicado y muchas de las entidades de seguridad informática y de la información dedicadas a investigar vulnerabilidades, ataques, etc., informaban o informan hoy en dia de que LatinoAmerica debe estar ya preparada ante ataques dirigidos, y mas aun las entidades bancarias. los laboratorios de eset, kaspersky, avira, symantec, y muchos mas, publican casi que a diario ataques informaticos en europa, EEUU, y siempre visionan a que en LatinoAmerica esto no tardara en llegar.
Hoy el departamento de Antifreude de HispaSec [@unaaldia] dio a conocer una Botnet IRC dirigida a entidades bancarias Colombianas;
Este malware (troyano) se esta propagando mediante el uso de correo electrónico, tratando de infectar a cada usuario con un falso Email de factura, como podemos observar en la siguiente imagen:
Fuente: http://unaaldia.hispasec.com
Hasta el momento no he podido localizar el Email que llega con este troyano, pero les comparto lo publicado por Hispasec.
Segun el analisis realizado por HispaSec esto fue lo que encontraron:
Este malware, xe3u, cuenta con un "dropper" que comprueba que no se esté depurando el binario. Es éste el que descarga el binario malicioso, y realiza comprobaciones similares al "dropper" anteriormente mencionado. Una vez la victima está infectada, comienza a monitorizar los sitios web que el usuario visita, esperando a que entre en algún sitio de interés, esto es un banco. Además, de esta manera, evita atacar sobre sitios innecesarios para no levantar sospechas. Se comunica a través de un servidor IRC; que mantiene similitudes con el script por defecto que podemos encontrar a continuación:
 |
| Fuente: unaaldia.hispasec.com |
A pesar de ser similar a éste archivo de configuración, su principal uso en este caso no es el de organizar una botnet para hacer ataques de denegación de servicio sino para la transmisión y robo de credenciales. A continuación podemos observar como modifica el login una vez estamos infectados. En la primera captura, podemos ver un fallo legítimo, sin embargo en el segundo saca al usuario de la sesión sin estar autenticado.
Fuente: unaaldia.hispasec.com
Fuente: unaaldia.hispasec.com
El troyano detecta que el usuario ha entrado en la web del banco, y comienza a monitorear la actividad que ocurre dentro. Una vez el cliente se autentica, recibe un falso mensaje de error en el login, y será entonces cuando el troyano reciba el OK para poder transmitir las credenciales:
Fuente: Unaaldia.hispasec.com
Una vez ha robado la información, la envía a través de IRC al atacante; que recibe los datos obtenidos durante el proceso de autenticación.
Entre las entidades afectadas, se encuentran:
Como se puede observar, las entidades afectadas son bancarias y de las mas reconocidas en el Pais, por lo que se trata de un troyano dirigido específicamente a entidades Bancarias en Colombia.
Si has recibido un e-mail como se muestra anteriormente, y además has ejecutado el binario que acompaña adjunto a este correo, entonces has caído en la infección de este troyano bancario.
¿Como protegernos de este Malware (troyano)?
1. Nunca abras correos electrónicos de destinatarios desconocidos.
2. Recuerda siempre que ninguna entidad financiera te solicitara información privada o cambios de la misma mediante correo electrónico.
3. Protección de antivirus actualizada
4. Análisis periódico de antimalware
5. Capacita a todo el personal que mas puedas, enseña, genera conciencia, genera cultura de seguridad, entre mas personas conozcan de estos temas, menos efectos tendrán estos malware.
¿Creo que abri un correo similiar, estoy infectado? que debo hacer?
6. Cambia inmediatamente tus datos de acceso, realizando una llamada a la entidad bancaria, no lo hagas via Web.o si lo realizas via web ejecutalo desde otro computador (seguro) y el navegador en modo privado o incognito.
7. Formatea, reinstala tu sistema operativo ¿porque? debido a que puedes ejecutar software antimalware, antivirus que pueden ayudarte a la desinfeccion, no conocemos si este malware nos ha dejado alguna puerta trasera abierta, es decir, una conexion entrante para el ciberdelincuente.
8. Repite los pasos 1 al 5.
Saludos,
Recuerda compartir, comentar, y disfrutar.
No hay comentarios.:
Publicar un comentario
Comenta!, Danos tu opinión o aporte. Comparte!.