- La empresa de ciberseguridad Metabase Q advirtió de un nuevo malware bancario que afecta a usuarios mexicanos: Janeleiro.mx
- Una vez que este malware infecta una computadora, monitorea la actividad de la víctima hasta que detecta el acceso a un portal bancario.
- Posteriormente, envía ventanas emergentes falsas que simulan ser formularios legítimos de bancos, para engañar al usuario a compartir sus datos bancarios.
La pandemia de Covid-19 trajo consigo un incremento en la cantidad de intentos de ciberataques en México, con los ransomware siendo algunos de los más implementados. Sin embargo, el malware bancario es otro tipo de amenaza cibernética que acecha a los usuarios mexicanos.
Este tipo de malware se enfoca en robar la información de cuentas bancarias de un usuario y suele transmitirse por medio de ingeniería social; por ejemplo, correos falsos que pretenden ser de una institución o servicio bancario en específico para engañar al usuario a que comparta su información.
De acuerdo con la empresa de ciberseguridad Metabase Q, México ocupa el segundo lugar en la incidencia de malware bancario en la región de Latinoamérica, superado únicamente por Brasil.
«De acuerdo con Banxico, las instituciones financieras en México registraron 16 ataques de 2019 a enero de 2021, que al final representaron alrededor de 780 millones de pesos; es una barbaridad. Yo creo que aquí el mensaje es que todos estamos expuestos a este tipo de cosas porque los atacantes están tratando de encontrar esas vulnerabilidades para tratar de engañar al usuario», dice Mauricio Benavides, director ejecutivo de Metabase Q durante el panel “Ciberamenazas actuales” de la empresa.
A su vez, ahora existe un nuevo malware bancario del cual deben cuidarse los mexicanos: Janeleiro, que desde 2019 ataca a usuarios de bancos brasileños. De acuerdo con un informe presentado este jueves por la compañía de ciberseguridad, actualmente existe una variante creada específicamente para México que mantiene características similares al original.
«Aunque se puede llegar a pensar que este malware ataca directamente a las instituciones bancarias, la realidad es que no. Ataca a los usuarios de estas instituciones, que son el eslabón más débil en la cadena de ciberseguridad», dice Jesús Dominguez, investigador del equipo de seguridad ofensiva Ocelot de Metabase Q. «Los bancos tienen muchos controles y mucha tecnología para mitigar este tipo de ataques, pero el usuario no», agrega.
¿Cómo ataca el malware bancario Janeleiro.mx?
Con apoyo del equipo de seguridad ofensiva Ocelot, la compañía monitoreó una campaña de Janeleiro desde el 26 de enero de 2021; aquí identificó la nueva variante para México. Los principales objetivos de esta, según el reporte de Metabase Q, fueron tarjetahabientes de bancos mexicanos, así como plataformas de criptomonedas.
«Cualquier persona que utilice el sistema financiero está sujeto a este tipo de ataques. En este caso, lo que hace la banda de Janeleiro es ir hacia el usuario, lo engaña haciendo un fake como si fuera el banco y el usuario, pensando que es el banco quien lo está contactando, les da la información», explica Benavides.
Este malware en particular muestra ventanas emergentes falsas que simulan ser formularios legítimos de bancos, para acceder a la banca en línea de las víctimas.
Al analizar la nueva variante, la empresa identificó formularios falsos de los principales bancos que operan en el país; entre ellos: BBVA, Santander, Banorte, HSBC, Scotiabank, Bajío, Banregio y Bitso. Los formularios se activan dependiendo del portal financiero al que acceda la víctima y su principal objetivo es robar credenciales, códigos generados por tokens físicos y cuentas de correo electrónico.
Los diferentes tipos de ventanas falsas identificadas en el reporte de Metabase Q son las siguientes:
- Actualización de alertas de seguridad
- Actualización de datos de contacto
- Verificación de contraseñas
- Sincronización del token
- Actualización de credenciales de acceso al banco
- Actualización de NIP
Este malware bancario es capaz de recibir un registro de todas las acciones que la víctima realiza en su computadora una vez que la infecta
La infección inicial se da a través de una campaña de correo malicioso que engaña al usuario a descargar de una liga el malware. Los atacantes también hospedan el malware en portales comprometidos en países como Estados Unidos, Inglaterra y Argentina.
Una vez que el equipo está infectado, Janeleiro.mx monitorea la actividad de la víctima hasta que detecta el acceso a un portal bancario. «El malware, al detectar esta interacción, se comunica con el servidor del ciberdelincuente para informarle que un usuario de alguna computadora infectada está interactuando con un banco y en ese momento el atacante empieza a lanzar una serie de comandos para mostrar estas ventanas falsas», explica Dominguez.
Una vez establecida la conexión, los atacantes empezarán a recibir un registro de todas las acciones que la víctima realiza en su computadora. Por ejemplo, las ventanas que está abriendo, texto escrito, archivos ejecutados, etc.
¿Qué se puede hacer para protegerse del malware bancario?
Debido a la frecuencia de ataques en México y la cantidad de personas expuestas, Benavides exhortó a usuarios y organizaciones a fortalecer sus capacidades de monitoreo y detección en los procesos para prevenir futuras afectaciones por parte de grupos maliciosos.
Algunas de las recomendaciones incluyen evitar abrir correos electrónicos sospechosos; asegurarse de que los equipos de cómputo, dispositivos móviles y aplicaciones se encuentren actualizados con los últimos parches y correcciones disponibles; no utilizar redes públicas para acceder al portal bancario y acceder desde un único dispositivo, entre otras.
Por su parte, los investigadores de seguridad de Ocelot recomendaron a las organizaciones contar con un servicio de Simulación APT (Advanced Persistent Threats) para detectar la ausencia o debilidad de controles en los procesos, gente y tecnología para mejorar los tiempos de detección (TTD) y tiempos de respuesta (TTR). Esto con la intención de fortalecer a su equipo de seguridad TI.
Otras recomendaciones incluyen identificar y monitorizar las transacciones de manera integral, cubriendo desde la solicitud del cliente, la ejecución y estado de los procesos internos para responder a sus necesidades; considerar capacidades en los motores que faciliten el reconocimiento de fraude, empleando aprendizaje supervisado y no supervisado; y contar con una estrategia integral de ciberseguridad y prevención de fraudes.
AHORA LEE: 6 de cada 10 empresas mexicanas sufrieron brechas de ciberseguridad en 2020, según encuesta de Thales
TAMBIÉN LEE: 25% de las organizaciones en México fueron atacadas por ransomware en 2020, según encuesta de Sophos
