Cuidando el bolsillo:
Amenazas digitales en la Banca Latinoamericana
Mauro Eldritch @ Birmingham Cyber Arms LTD
whoami
Mauro Eldritch
Birmingham Cyber Arms LTD
introducción
Esta charla enumera distintos desafíos de seguridad que encuentran los usuarios bancarios a la hora de operar en línea.
Discutiremos amenazas ordenadas por complejidad, desde las simples hasta las especializadas.
Esta charla tendrá estafas, malware y golden retrievers.
Cuiden sus pertenencias.
01
ESTAFAS
03
MALWARE
02
PHISHING
04 conclusiones
No digas la palabra con M en Twitter…
Y otras amenazas avanzadas.
Los mentirosos de siempre.
Cómo iniciar una lucrativa carrera criminal y ser el próximo John Dillinger
Leopoldo AKA GoldenLocker
Actor invitado
01: ESTAFAS
FALSO SOPORTE
ESTAFAS
Actores o bots maliciosos se mantienen atentos a usuarios que mencionen a determinadas cuentas corporativas (o ciertas palabras) en redes sociales.
Responden rápidamente a estos mensajes y envían mensajes privados bajo la premisa de brindar soporte.
Imágen: Ernesto (@DKAvalanche).
FALSO SOPORTE
ESTAFAS
Una vez establecido el contacto, intentarán engañar al usuario para obtener acceso a sus activos y datos.
ESTAFAS
El objetivo principal de estas estafas es la obtención de los activos de la víctima inmediatamente disponibles.
Estas estafas suelen culminar con una exposición importante de datos sensibles. Esto es peligroso incluso si no se concreta un robo de dinero.
En ciertas ocasiones, se le solicita al usuario la instalación de una aplicación o extensión de origen dudoso, que comparta datos sensibles como códigos de autenticación (WhatsApp) o que visite e interactúe con sitios web sospechosos o contratos inteligentes maliciosos.
ACTIVOS INMEDIATOS
Datos
ACCESOS Y CONTINUIDAD
Teniendo acceso a ciertos datos, los atacantes pueden incrementar su botín al adquirir compromisos monetarios a largo plazo en nombre de la víctima, como préstamos, tarjetas y otros productos bancarios.
PRÉSTAMOS Y PRODUCTOS
PERFIL: FALSO SOPORTE
ESTAFAS
La mayoría de estos actores tiene un nivel muy básico: suelen escribir con faltas ortográficas, sus cuentas sociales duran poco tiempo activas, son desprolijas y con poca atención al detalle. Suelen comprar phishing kits, cuentas y “métodos” a terceros.
02: PHISHING
TYPOSQUATTING
PHISHING
Táctica maliciosa donde se registran nombres de dominio similares a sitios web legítimos, aprovechando errores tipográficos comunes o usando un TLD diferente.
Imágen: Agustín Merlo (@Merlax_).
ATAQUE HOMOGRÁFICO
PHISHING
Táctica maliciosa donde se utilizan caracteres visualmente similares pero pertenecientes a distintos conjuntos de caracteres (como latino y cirílico) para crear nombres de dominio que se parezcan a otros legítimos.
Imágen: Cassius Puodzius (@cpuodzius).
MALVERTISING
PHISHING
Táctica publicitaria maliciosa utilizada para mejorar la visibilidad de enlaces engañosos en los resultados de los motores de búsqueda, colocándolos en anuncios pagados que aparecerán comúnmente antes de los resultados.
Imágen: Agustín Merlo (@Merlax_).
Imágen: Ernesto (@DKAvalanche).
PERFIL: PHISHER
PHISHING
Actores más sofisticados que a menudo disponen de su propia infraestructura. Desarrollan phishing kits personalizados, incluso llegando a comercializarlos en foros y otros canales especializados.
Aprovechan momentos específicos del año, como vacaciones, Navidad, Black Friday, Cyber Monday, fechas fiscales, para refinar sus operaciones.
Imágen: Agustín Merlo (@Merlax_).
03: MALWARE
MALWaRE AVANZADO: STEALERS
MALWARE
Software malicioso diseñado para robar información personal, como credenciales de inicio de sesión, datos financieros y otros detalles confidenciales, de manera sigilosa y sin conocimiento del usuario afectado.
Funcionan bajo el esquema MaaS (Malware as a Service) creando un mercado criminal avanzado en el que pueden participar fácilmente actores de menor nivel técnico.
Redline, Raccoon, Vidar, Lumma.
Imágen: Sheriff - BCA LTD (@BirminghamCyber)
MALWARE ESPECIALIZADO: TROYANOS BANCARIOS
MALWARE
Software malicioso avanzado con la capacidad de interceder cuando una víctima intenta acceder a los sitios web de determinadas entidades financieras, secuestrando el navegador.
Este proceso implica "congelar" o desenfocar la página mostrando una ventana superpuesta (overlay) falsa que simula ser una alerta auténtica del sitio y aprovechará a solicitar datos confidenciales a la víctima.
Screen Overlay, Escobar, Grandoreiro, Mekotio, Janeleiro, Amavaldo.
Imágen: Ernesto (@DKAvalanche).
MALWARE ESPECIALIZADO: JANELEIRO
MALWARE
Troyano bancario escrito en Visual Basic .NET que utiliza Github como servidor de control y comando (C2).
Era relativamente simple y operaba exclusivamente cuando el sistema infectado se encontraba en Brasil, identificado a través de su dirección de IP pública.
Posteriormente, se lanzó una variante adaptada para afectar a usuarios en México, conocida como Janeleiro.mx.
MALWARE ESPECIALIZADO: ESCOBAR
MALWARE
Troyano bancario para Android, sucesor de Aberebot. Es capaz de extraer códigos de doble factor de autenticación de Google Authenticator, algo visto en muy pocas familias de malware, como Cerberus.
El autor ofreció rentar hasta cinco muestras del malware en un conocido foro rusoparlante, iniciando un prototipo de esquema MaaS.
A fines de ese mismo año cambió de parecer y colocó el proyecto entero a la venta (incluyendo código fuente, paneles de administración y 200 inyecciones).
MALWARE ESPECIALIZADO: GRANDOREIRO
MALWARE
Este malware escrito en Delphi es altamente modular y está en constante actualización.
Usa trucos interesantes como expandir el tamaño de sus binarios (agregando imágenes al mismo) para evitar escaneos, utilizar DGA (algoritmo de generación de dominios) para sus C2 y complementar su modularidad con librerías DLLs independientes para cada entidad objetivo.
Imágen: Agustín Merlo (@Merlax_).
MALWARE ESPECIALIZADO: MEKOTIO
MALWARE
Malware escrito en Delphi que en ocasiones suele utilizar una base de datos SQL como servidor C2, valiéndose de procedimientos almacenados.
Al igual que Grandoreiro utiliza DGA (algoritmo de generación de dominios) para sus C2, reforzando su inventario de servidores con listas hardcodeadas.
Suele empaquetar una versión legítima de AutoIt, que utiliza para desplegarse.
Es uno de los más observados atacando a usuarios argentinos.
Imágen: Agustín Merlo (@Merlax_).
MALWARE ESPECIALIZADO: CASBANEIRO
MALWARE
Otro producto escrito en Delphi con un posible parentesco con la familia de troyanos Amavaldo.
Tiene la capacidad de realizar un secuestro del portapapeles (clipboard hijacking), sustituyendo las direcciones BTC copiadas por otras controladas por el atacante. Esto provoca que la víctima, sin saberlo, envíe fondos erróneamente al destino designado por el malware.
Se le ha observado utilizando registros DNS, documentos en línea o sitios web de apariencia legítima para almacenar discretamente información sobre su C2. Tiene una importante actividad en Argentina.
Imágen: Ernesto (@DKAvalanche).
MALWARE ESPECIALIZADO: CASOS REALES
MALWARE
Policía de Santa Fé - Troyano Bancario desconocido.
ARS 165.000.000
Imágen: DeFazio Abogados (@AbogadosDefazio).
MALWARE ESPECIALIZADO: CASOS REALES
MALWARE
Banco República Oriental del Uruguay - Troyano Bancario desconocido.
Campaña a gran escala, monto final desconocido.
Imágen: Diario El País (Uruguay)
MALWARE ESPECIALIZADO: DRAINERS
MALWARE
Los "drainers" son un tipo de malware que suele manifestarse principalmente como contratos inteligentes diseñados para vaciar billeteras de criptomonedas. Tienen la capacidad de robar criptomonedas, tokens y NFTs simplemente con la firma de una transacción.
Inferno Drainer, Monkey Drainer, Venom Drainer, Angel Drainer, Pink Drainer.
MALWARE ESPECIALIZADO: DRAINERS
MALWARE
Algunos “drainers” son simplemente kits de phishing que intentan engañar al usuario para colocar su clave privada o mnemotécnica para luego ejecutar el robo de una forma manual o parcialmente automatizada.
CryptoGrab.
PERFIL: operadorES de malware / drainers
MALWARE
Actores avanzados que lideran operaciones organizadas, a menudo colaborando con afiliados en programas abiertos.
Habitualmente desarrollan y mantienen herramientas e infraestructura propia y sus productos son altamente especializados para abarcar un sector específico del mercado.
La colaboración con afiliados les proporciona una red de distribución más extensa, colocándolos rápidamente en una posición económica ventajosa, por lo que algunos de ellos deciden cerrar sus proyectos y retirarse con las ganancias.
04: CONCLUSIONES
CONCLUSIONES
ESTAFAS & PHISHING
MALWARE ESPECIALIZADO
COMUNIDAD: SEGURIDAD
STEALERS
COMUNIDAD: USUARIOS
…
…
…
…
…
SOLUCIONES
ESTAFAS & PHISHING
MALWARE ESPECIALIZADO
COMUNIDAD: SEGURIDAD
STEALERS
COMUNIDAD: USUARIOS
Servicios de Threat Intelligence (identificación temprana) & Brand Protection (identificación y takedown).
Servicios de Threat Intelligence (monitoreo de campañas e infraestructura clásica y Web3, incluyendo transacciones).
Política de Threat Intelligence que contemple compartir hallazgos e indicadores de compromiso con la comunidad.
Servicios de Threat Intelligence (monitoreo de campañas y filtraciones).
Campañas de concientización �(¿por qué el usuario cae en una estafa?)�Soporte Prioritario �(¿por qué los delincuentes llegan antes que nosotros?).
Gracias
Contacto
@MauroEldritch
@BirminghamCyber
@DC54111
https://github.com/MauroEldritch�
PORTADA: Jake Allen para Unsplash.
CREDITS: This presentation template was created by Slidesgo, including icons by Flaticon, and infographics & images by Freepik and illustrations by Storyset