En América Latina ‘Jumcar’ tiene como objetivo el robo de información financiera de usuarios que utilizan servicios de banca en línea de importantes entidades bancarias en la región.
No es tan difícil detectar fraudes informáticos o malignos virus que intentan robar nuestra información cuando estos utilizan mal el español, y están claramente programados por hackers en lejanas latitudes. ¿Pero qué pasa cuando la amenaza viene de nuestro propio continente?
Analistas de Kaspersky Lab en América Latina acaban de revelar el descubrimiento de una familia de códigos maliciosos desarrollados en Perú que está desplegando sus maniobras de ataque por toda la región. Denominado “Jumcar” por el equipo de analistas, el principal objetivo de estos códigos maliciosos se resume en el robo de información financiera de usuarios latinoamericanos que hacen uso de los servicios de home-banking de importantes entidades bancarias. De las víctimas, 89% se canalizan en Perú a través de seis estrategias de Phishing basadas en la clonación fraudulenta de los sitios web bancarios. Algunas variantes de la familia Jumcar también incorporan en la logística de la estrategia dos entidades bancarias de Chile y una de Costa Rica.
La cultura ciber-delictiva se expande con mucha fuerza en América Latina. Ejemplo de ello son algunas de las redes de bots gestionadas a través de crimeware desarrollado en la región, que además cuentan con la posibilidad de generar malware personalizado. Tales son los casos de las botnets que analistas de Kaspersky Lab han descubierto a lo largo de los últimos dos años y alertado al respecto oportunamente como vOlk-Botnet, Chimba-Botnet, UELP, AlbaBotnet y PiceBOT.
Sin embargo, según Jorge Mieres, analista para Kaspersky Lab, esta familia de malware posee características y componentes completamente diferentes y muy particulares en comparación con las anteriormente mencionadas. “Solo comparten el mismo objetivo: robar información financiera y, en similitud, la estrategia de propagación inicial: correo electrónico asociado con un fuerte componente de Ingeniería Social visual basado en falsos mensajes”, explicó Mieres.
Las campañas de propagación de ‘Jumcar’ son compatibles con las clásicas estrategias de Ingeniería Social visual que se basan en el envío de correos electrónicos fraudulentos, instancia en la cual se dispara hacia dos vetas de ataque:
1. Un mensaje supuestamente emitido por Facebook con el asunto “Mensaje de Facebook”, acompañado con imágenes del logo de la red social, que direccionan el tráfico hacia un archivo llamado “Mensaje_Facebook_Privado.php” (o similar), que posee las instrucciones necesarias para la descarga de una variante de Jumcar.
2. Un mensaje supuestamente emitido por una importante entidad bancaria de Perú que direcciona el tráfico del usuario hacia la clonación del sitio web de la entidad bancaria en cuestión.
“Todas las variantes de Jumcar son alojados en sitios web previamente vulnerados. Es decir, el atacante no registra nombres de dominio como parte de la estrategia de propagación. En ellos también se implantan los PhishingPack utilizados para robar la información de los usuarios desprevenidos, un archivo en texto plano que aloja la configuración para el archivo hosts de los equipos víctimas, el MassMailer a través del cual se masifica el envío de los correos engañosos y un backdoor que le permite al atacante acceder y alojar las nuevas variantes del malware”, añadió Mieres.
El impacto que Jumcar ha tenido en los últimos meses es alto y específico. Los mayores niveles de infección se encuentran focalizados con mayor éxito de penetración en Perú y Chile:
Las diferentes variantes de ‘Jumcar’ son detectadas por Kaspersky Lab como “Trojan.MSIL.Jumcar” y “Trojan.Win32.Jumcar”.
Analistas de Kaspersky Lab América Latina han analizado alrededor de 50 muestras pertenecientes a la familia de malware Jumcar que les permitieron recolectar un importante volumen de datos de interés que compartirán en los próximos días.
El artículo completo de la primera parte de esta investigación se puede encontrar aquí: http://latam.kaspersky.com/Jumcar-parte1