Un experto en seguridad de Kaspersky Lab Dmitry Bestúzhev, ha descubierto que los servicios cloud de Amazon están siendo utilizados por cibercriminales para distribuir malware para el robo de datos financieros, tal como lo señala en su blog Securelist.
Segun la evidencia, todo indica que los ciberdelincuentes son brasileños, por las cuentas registradas previamente para poner en marcha la infección, y como comenta en su blog, el investigador se puso en contacto con la gente de amazon para exponer el caso, pero 12 horas despues los link de descarga siguen activos con lo cual mas y mas delincuentes utilizan servicios genuinos en la nube para fines maliciosos.
Los diferentes codigos de malware alojados en la nube de amazon actuan de diferentes maneras. En Algunos casos como un rootkit, buscando y bloqueando la ejecución de al menos cuatro antivirus: AVG, Avira AntiVir, ESET y el Alwil Software de Avast. También detectan una aplicación de seguridad especial llamada GBPluggin, que utilizan las instituciones financieras brasileñas para proteger transacciones bancarias online.
Roban información financiera de nueve bancos brasileños y dos bancos internacionales. Información de las CPUs de las victimas, como el número de volumen del disco duro y el nombre del equipo, ya que algunos bancos Latinoamericanos utilizan esta información durante el proceso de acceso a las cuentas para autenticar a sus clientes.
También roban credenciales de Microsoft Live Messenger y certificados digitales utilizados por eTokens del sistema. La información sustraída es enviada por 2 vias diferente. Una es por correo electrónico a la cuenta del atacante en Gmail o la otra utilizando un script PHP con el cual insertar los datos en una base de datos remota.
Roban información financiera de nueve bancos brasileños y dos bancos internacionales. Información de las CPUs de las victimas, como el número de volumen del disco duro y el nombre del equipo, ya que algunos bancos Latinoamericanos utilizan esta información durante el proceso de acceso a las cuentas para autenticar a sus clientes.
También roban credenciales de Microsoft Live Messenger y certificados digitales utilizados por eTokens del sistema. La información sustraída es enviada por 2 vias diferente. Una es por correo electrónico a la cuenta del atacante en Gmail o la otra utilizando un script PHP con el cual insertar los datos en una base de datos remota.
Finalmente, el malware alojado es protegido por un software legítimo anti-pirateria llamado The Enigma Protector, el cual protege el malware del análisis de ingenieria inversa por parte de los investigadores.
No hay comentarios:
Publicar un comentario