CIBERDELINCUENTES REALIZAN ATAQUES A ENTIDAD BANCARIA USANDO EL MALWARE DRIBAN

05/05/2023

BOLETÍN NRO 2023-278

Los clientes de un banco italiano son el objetivo de una campaña de fraude financiero en curso que ha estado aprovechando un nuevo kit de herramientas de inyección web llamado drIBAN. El objetivo del ataque es infectar sistemas Windows dentro de entornos corporativos, tratando de alterar las transferencias bancarias legítimas realizadas por las víctimas, cambiando el beneficiario y transfiriendo dinero a una cuenta bancaria ilegítima.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA Amenaza: drIBAN                                  Categoría: Malware El uso de web injects es una táctica probada que permite a los programas maliciosos inyectar scripts personalizados en el lado del cliente mediante un ataque de tipo man-in-the-browser (MitB) e interceptar el tráfico hacia y desde el servidor. Las transacciones fraudulentas suelen realizarse mediante una técnica denominada Automated Transfer System (ATS), capaz de eludir los sistemas antifraude implantados por los bancos e iniciar transferencias no autorizadas desde el propio ordenador de la víctima. La cadena de ataque comienza con un correo electrónico certificado (o correo electrónico PEC). Estos correos electrónicos de phishing contienen un archivo ejecutable que actúa como loader de un malware llamado sLoad (también conocido como Starslord loader). sLoad, es una herramienta de reconocimiento que recopila y extrae información del host comprometido, con el fin de evaluar el objetivo y soltar un payload como Ramnit si el objetivo se considera rentable. Esta fase puede durar días o semanas, dependiendo del número de equipos infectados. sLoad también aprovecha las técnicas de living-off-the-land (LotL) abusando de herramientas legítimas de Windows como PowerShell y BITSAdmin como parte de sus mecanismos de evasión. Otra característica del malware es su capacidad para verificar con una lista predefinida de entidades bancarias corporativas para determinar si la estación de trabajo es uno de los objetivos y, en caso afirmativo, proceder a la infección. Todos los bots que superen con éxito esos pasos serán seleccionados por los operadores de la botnet y considerados como nuevos candidatos para operaciones de fraude bancario que pasarán a la siguiente fase, en la que se instalará Ramnit. Indicadores de Compromiso Dominio jopkerto[.]tech guituk[.]eu Hash MD5: d5299434aa5119814df6f50d9ddce8e1 SHA-256: 5fa5ef757f62463989958fd2a0edb5c5323dac09eb4c1d4d9bdce8462a2d1d4a MD5: 7e9280027235462727a9a351429725c6 SHA-256: 11a9b5a24b628be56d2d2bedf1ed71f05114c2f670cd1814ff8f8ff222cd801a MD5: 6c3db9101ead9e8461ae3846c43aa8ec SHA-256: 24f43889701c52a327f1d3e496858e45405378533b5bca500c68a4960a33c0b7 MD5: 2c7a9e3fe582667826510d70b8c79f19 SHA-256: e574dbf20a610c660a81c64d5381c57a4881ece8a02ad93405795baf54e99b72

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Hackers Targeting Italian Corporate Banking Clients with New Web-Inject Toolkit DrIBAN
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​