Troyano dirigido a banca I WatchGuard Blog

Las entidades bancarias continúan siendo uno de los principales objetivos para los ciberatacantes. Tal y como indicamos en el post sobre los riesgos para las redes de los servicios financieros, solo en el año 2020 se produjeron más de 1.500 ciberataques a entidades y en los últimos meses, destacan incidentes como el ciberataque a la reserva federal de Nueva Zelanda o el más reciente contra el mayor banco de Ecuador. Ahora, ha surgido una nueva amenaza que está teniendo como principales objetivos a entidades australianas y alemanas.

Anteriormente contamos que miembros de agencias de inteligencia de EEUU como la NSA han confirmado que utilizan habitualmente bloqueadores de anuncios en sus navegadores de internet: el motivo es que cada vez más ciberatacantes utilizan anuncios como vector de entrada para introducir malware. Hace unos días, Microsoft y la agencia CISA realizaron una advertencia que vuelve a confirmarlo: Zloader, una herramienta que se emplea para inyectar malware en los sistemas, se ha utilizado los anuncios de Google Adsense como vector de entrada. Según la compañía de Redmond, los operadores de Zloader compraron anuncios para palabras en Adsense con el fin de distribuir otros malware, incluyendo el peligroso Ryuk, que ya hemos abordado en varias ocasiones.

Los anuncios hacían instalar una supuesta aplicación basada en Java que aparentaba ser legítima y en su lugar, descargaba Zloader. Para poder hacerlo sin levantar sospechas con Google, los ciberatacantes también registraron una compañía como tapadera, con el fin de poder operar con los archivos maliciosos en Adsense, que además estaban cifrados.

Los analistas de ciberseguridad se han mostrado preocupados por el hecho de que hayan cambiado vectores más tradicionales como el correo electrónico por Adsense: aunque esta técnica no es nueva, consideran que la amenaza es grave, con esta campaña se han dirigido específicamente al sector financiero, pero pueden tener un alcance de miles de millones de usuarios al utilizar Google como buscador.

Microsoft Security Intelligence: esquema del ciberataque mediante Zloader

Variante de Zeus más sigilosa

Zloader es un troyano bancario que surge como variante de Zeus, un malware que ha afectado a entidades del sector desde el año 2006. Utiliza inyección de código web malicioso para robar datos de cookies, credenciales y otros tipos de información sensible.

Pero, de acuerdo con los analistas de ciberseguridad, esta variante dispone ahora de unos mecanismos de distribución mucho más sigilosos, lo que hace que tenga menores posibilidades de detección por parte de los antivirus más tradicionales. Además, sus últimas versiones analizadas disponen de una funcionalidad que hace desactivar a Windows Defender, el antivirus que los Sistemas Operativos Windows traen por defecto.

Visibilidad completa y Endpoints protegidos

Zloader demuestra que las soluciones de ciberseguridad que traen por defecto los Sistemas Operativos y las más tradicionales no son suficientes ante las nuevas amenazas.

Por eso, en este contexto las entidades bancarias necesitan que sus MSPs les provean de herramientas adicionales que les ofrezcan visibilidad completa de toda su red en cualquier lugar y en cualquier momento, para que pueda tomar decisiones informadas y efectivas. WatchGuard Cloud Visibility es las respuesta para esa necesidad.

Por otro lado, también deben disponer de tecnologías que les permitan detectar en los Endpoints los ciberataques más sofisticados y aquellos que son capaces de evadir las soluciones de antivirus más tradicionales. En este sentido, WatchGuard EPDR, la solución estrella de WatchGuard Endpoint Security, aporta una completa protección EPP y EDR, así como servicios de búsqueda de amenazas y aplicaciones Zero-Trust, todo ello gestionado desde una única plataforma basada en la nube. Así, los MSPs de los bancos podrán reducir mucho las posibilidades de que los ciberatacantes obtengan acceso mediante vectores de entrada atípicos, como los anuncios de Google.