Un nuevo troyano, variante del malware Prg Banking, ha robado cientos de miles de dólares de cuentas de negocios en algunos de los mayores bancos de Estados Unidos, Reino Unido, España e Italia, de acuerdo con informaciones facilitadas por Don Jackson, investigador senior de SecureWorks. “No es un malware muy extendido, pero sí muy peligroso. Ya ha robado más de 200.000 dólares de las cuentas de sus víctimas”, asegura Jackson.
La característica más destacable de este malware, según Jackson, es su capacidad para simular los pasos que seguiría el propietario humano de una cuenta bancaria para mover dinero. Jackson asegura además haber encontrado al menos cuatro servidores que contienen archivos de configuración PRG y versiones falsas de sitios de banking legítimos, así como múltiples cachés de datos tomadas por este troyano.
Según Jackson, los hackers autores de estos ataques –que hablan alemán, aunque pueden no residir en Alemania- extraen la gran cantidad de datos recopilados antes de realizar sus acciones mediante una versión genérica menos potente de Prg, que utilizan para conseguir información sobre las cuentas. Una vez han entrado en una cuenta empresarial, pueden rápidamente saquearlas utilizando transferencias online para llevar el dinero a otras cuentas controladas por ellos.
Requiere la intervención del usuario
En cualquier caso, para tener éxito, este ataque exige la colaboración inadvertida de la víctima. Por ello, si se conoce, es relativamente sencillo de evitar. Una vez elegida la víctima, los hackers crean lo que Jackson define como e-mails de phishing “muy convincentes” y los envía a los propietarios de las cuentas, quienes han sido identificados previamente utilizando el sistema de robo de datos mediante la versión genérica de Prg. “Los correos generalmente incluyen el número de cuenta, y el nombre y apellidos de su propietario, además de algunos detalles de seguridad, como si la cuanta está protegida mediante una contraseña de único uso”.
En el e-mail se dice a las víctimas que necesitan descargar una nueva contraseña de único uso o token software, pero cuando el usuario pincha sobre el enlace que se le proporciona y accede al sitio de phishing, el troyano Prg se descarga automáticamente en su equipo.
A partir de ahí, se desencadena un proceso altamente automatizado. El malware alerta al hacker cuando el propietario de la cuenta está conectado online con su banco, y aquel puede espiar entonces la sesión para robar inadvertidamente el nombre de usuario y la contraseña de la victima. “Menos de 20 bancos se han visto afectados por este malware hasta ahora, pero entre ellos se incluyen algunas de las mayores entidades de Estados Unidos, España, Reino Unido e Italia”, insiste Jackson.
