Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Nuevas variantes de L0rdix Botnet, ATM EMV Malware y Anubis 2.5 buscan afectar al sector financiero.

  • Publicado: 20/07/2019
  • Importancia: Media

Recursos afectados

Desde el CSIRT Financiero se ha detectado nuevas variantes de malware catalogado de tipo Banker. Los cuales buscan obtener información como credenciales de acceso de usuarios afectados como también tomar control de sus dispositivos. Adicionalmente se sabe que estas nuevas fuentes de malware están siendo comercializadas por los ciberdelincuentes por sitos de tipo mercado negro en la Dark Web.

Antes de iniciar con el análisis de la alerta es necesario explicar la funcionalidad y procedencia de esta clase de malware catalogado. Entre estas definiciones de código malicioso catalogados como amenaza potencial para el sector financiero, tenemos a L0rdix Botnet, ATM EMV Malware y Anubis 2.5.

Inicialmente L0rdix es un tipo de malware catalogado como una herramienta multipropósito de administración remota RAT, la cual le permite ejecutar funciones administrativas sobre los dispositivos que se encuentren afectados por este tipo de malware. Adicionalmente este malware contiene un módulo que le permite al atacante interconectar las maquinas afectadas a un servidor de C&C (Command and Control) y de ese modo crear su propia red Botnet. Básicamente su primera versión se vio en el mes de noviembre del 2018 en foros de ciberdelincuentes, donde su código fuente era vendido por una suma de 64 USD.

Pasado el tiempo su panel administrativo y código fuente fue liberado, de esa manera permitió validar a los Ciberdelincuentes, como trabaja y funciona L0rdix para posteriormente crear nuevas variantes del malware.

Por otro lado, ATM EMV es un malware catalogado que permite al atacante realizar acciones de “Cash Out” (Retirar dinero) sin dejar rastro, la desventaja de este malware es que afecta directamente en el hardware del dispositivo ATM (Cajero). Ya que su método de inserción e infección es por medio de una tarjeta o chip. Durante los últimos años fue el culpable de varios ataques a nivel mundial. Entre ellos el más destacado se desarrolló en el país de Tailandia.

Finalmente tenemos a Anubis en su versión 2.5, este malware es catalogado como tipo Botnet ya que al momento de instaurarse en el dispositivo del usuario. Se aloja directamente en el sistema operativo Android del equipo de la víctima, para posteriormente conectarlo a la red Botnet de Anubis. Cabe recalcar que el atacante puede ejecutar comandos de administración desde el servidor C&C (comando y control) de Anubis.

Etiquetas