Muestras de malware bancario presentan comandos y palabras rusas
Los cibercriminales responsables de un nuevo ataque dirigido a organizaciones financieras de todo el mundo han agregado palabras y comandos rusos en su malware en un intento de desorientar investigadores de seguridad.
Los investigadores de BAE Systems han obtenido y analizado muestras de malware adicionales relacionadas a un ataque que ha afectado a 104 organizaciones, la mayoría de ellos bancos, de 31 países diferentes.
Encontraron varios comandos y cadenas en el malware que parecen haber sido traducidos al ruso y los resultados no tienen mucho sentido para un hablante nativo de este idioma.
“En algunos casos, las traducciones inexactas han transformado el significado de las palabras por completo”, dijeron los investigadores en un blog. “Esto implica que los autores de este ataque no son hablantes nativos de ruso y, como tal, el uso de palabras rusas parece ser un ‘indicio falso’ “.
Este comportamiento inusual es más probable que pretenda hacer la atribución más difícil y dirigir a los investigadores en una pista falsa. En realidad, hay evidencia técnica para vincular estas muestras de malware a un grupo conocido en la industria de la seguridad como Lazarus.
Este grupo ha estado activo desde al menos 2009 y ha sido responsable de varios ataques contra organizaciones gubernamentales y privadas de Corea del Sur y los Estados Unidos a lo largo de los años.
Se cree que Lazarus fue responsable del ataque de 2014 contra Sony Pictures Entertainment que resultó la fuga de datos sensibles y muchos de los equipos de la compañía quedaron inoperables. El FBI y otras agencias de inteligencia estadounidenses atribuyeron ese ataque a Corea del Norte.
El grupo Lazarus también se ha relacionado con el robo de 81 millones de dólares del banco central de Bangladesh el año pasado. En ese ataque, los cibercriminales utilizaron malware para manipular los equipos utilizados por el banco para operar transferencias de dinero a través de la red SWIFT. Intentaron mover $ 951 millones en total, pero algunas transacciones fallaron y otras se invirtieron con éxito.
A principios de este mes, un ataque de malware que afectó a varios bancos en Polonia salió a la luz. Se cree que el ataque involucró exploits lanzados desde el sitio comprometido de la Autoridad de Supervisión Financiera de Polonia.
Investigadores de BAE Systems y Symantec han vinculado el ataque de Polonia a una campaña más amplia que ha estado ocurriendo desde octubre. Los sitios web de la Comisión Nacional Bancaria y de Valores de México y el mayor banco estatal de Uruguay también han sido infectados de manera similar.
Los programas de malware utilizados en estos ataques tienen similitudes de código con las herramientas atribuidas en el pasado al grupo Lazarus.
Existen varias bandas cibercriminales de origen ruso que se especializan en la selección de bancos. Estos grupos usan spear-phishing para obtener acceso en las redes de los bancos y después aprender los procedimientos internos de las organizaciones antes de que comiencen a robar el dinero. La investigación de BAE Systems sugiere que Lazarus podría estar tratando de combinar su actividad con la de estos ciberdelincuentes de habla rusa.
Fue originalmente publicado en: Seguridad.unam.mx
