El troyano bancario Metamorfo desactiva el autocompletado para registrar las contraseñas que ingresa
Si bien otras amenazas han ido y venido a lo largo de los años, los troyanos bancarios se han mantenido como un firme favorito entre los ciberdelincuentes, y aunque algunas de las cepas como Ursnif han establecido una reputación de exfiltración de datos eficiente, los delincuentes todavía están dispuestos a dar una oportunidad a los nuevos entrantes. Metamorfo es uno de los recién llegados a la escena del malware bancario, y parece que podría estar ganando la aprobación de los piratas informáticos con bastante rapidez.
Los investigadores de Fortinet escribieron por primera vez sobre Metamorfo en enero, cuando el malware estaba dirigido exclusivamente a usuarios en Brasil. La semana pasada, sin embargo, los expertos dijeron que habían visto una nueva variante distribuida en "múltiples" países. Prefirieron no publicar una lista de instituciones financieras específicas, pero su informe sugiere que la mayoría de las metas están situadas en América del Norte y del Sur.
Table of Contents
Una cadena de infección bastante tradicional.
No hay nada particularmente interesante en cuanto a la forma en que Metamorfo infecta la computadora de la víctima. Los delincuentes usan la ingeniería social para engañar a los usuarios para que abran un archivo ZIP adjunto a un correo electrónico no solicitado. En su interior, hay un instalador de Windows que descarga algunos archivos de un servidor controlado por piratas informáticos e instala el troyano. Los archivos se vuelcan en una carpeta con nombre aleatorio en la unidad del sistema, y la persistencia se logra con la ayuda de una modificación del registro de Windows.
Antes de que comience la operación maliciosa, Metamorfo se pone en contacto con su servidor de Comando y Control (C&C) y envía información sobre el host infectado, incluido el nombre de la computadora, la versión del sistema operativo y una lista de productos de seguridad instalados. Hasta ahora, tan convencional, pero los siguientes pasos muestran que Metamorfo está lejos de ser una simple reescritura de un troyano bancario tradicional.
Metamorfo busca dinero real y criptográfico
Parece que los operadores de Metamorfo no están satisfechos con el robo de las credenciales bancarias de las víctimas solamente. Una vez que está instalado, el malware activa una funcionalidad de monitoreo del portapapeles, que escanea cada bit de datos que el usuario copia. Si detecta una cadena alfanumérica que parece una dirección de bitcoin, la cambia por la dirección de la billetera del atacante mientras todavía está en el portapapeles.
Las direcciones de billetera tienen entre 26 y 35 caracteres, lo que significa que la mayoría de las personas generalmente copian la dirección cuando quieren hacer una transacción de bitcoin. Los desarrolladores de Metamorfo esperan que los usuarios no se den cuenta de que la cadena ha sido cambiada y sin querer envíen las monedas digitales a la billetera de los ladrones. Cuando se trata del robo de contraseñas bancarias en línea, la estrategia está bien pensada.
Una función de autocompletar deshabilitada y un simple keylogger resultan en contraseñas robadas
Usted sabe que cuando comienza a escribir una URL en su barra de direcciones, los navegadores modernos le dan sugerencias que se encuentran en su historial de navegación. Para muchos, ir a su plataforma de banca en línea significa escribir un par de letras en la barra de direcciones y presionar Enter. Los navegadores modernos también ofrecen la funcionalidad de administración de contraseñas, lo que significa que una vez que están en el sitio web del banco, los usuarios que han guardado sus credenciales con sus navegadores simplemente eligen la sugerencia correcta, y su nombre de usuario y contraseñas se completan automáticamente. Si sus computadoras están infectadas con Metamorfo, esto no sucederá.
Después de establecer un punto de apoyo en un host, Metamorfo realiza algunos cambios en el registro, que desactivan la funcionalidad de autocompletar de la mayoría de los navegadores modernos. Como resultado, los usuarios deben ingresar la URL completa de su sitio web bancario (si no lo han guardado como marcador), y también deben escribir manualmente su nombre de usuario y contraseña. Mientras lo hacen, Metamorfo registra los datos de inicio de sesión con la ayuda de un componente keylogger y los envía a los C&C de los delincuentes.
Un inteligente troyano bancario que tiene algunos otros ases bajo la manga
Desde una perspectiva técnica, este método es mucho más simple que los mecanismos más tradicionales para extraer información de inicio de sesión, pero podría ser igual de efectivo. De hecho, los usuarios probablemente notarán que la funcionalidad de autocompletar de su navegador no funciona, pero probablemente supondrán que se trata de una falla temporal e ingresarán sus datos a mano. El funcionamiento de la estafa de redirección de bitcoins es igual de sencillo. Sin embargo, esto no significa que el nivel general de sofisticación sea bajo.
Los investigadores de Fortinet dijeron que Metamorfo es capaz de ejecutar un total de 119 comandos, que incluyen apagar y reiniciar la computadora, mover el cursor del mouse y mostrar mensajes de error falsos. En otras palabras, Metamorfo es un troyano bancario extremadamente versátil con una funcionalidad que se extiende mucho más allá del simple robo de credenciales de inicio de sesión y la redirección de bitcoins. Puede ser nuevo, pero definitivamente no debe ser olfateado.
