Esta es la forma en que cibercriminales espiaban bancos colombianos

Un objetivo común de los ciberdelincuentes es robar dinero de las entidades bancarias, ya sea por medio del robo de claves de acceso de clientes o con ataques directos a estos establecimientos. Es por ello que durante diciembre del año 2022, se reportó una campaña de espionaje dirigida específicamente a bancos colombianos.

Los criminarles utilizaron un virus que les permitía, además de infiltrarse entre los sistemas de seguridad de las agencias bancarias, ejecutar comandos para realizar acciones maliciosas. Según Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, estas consistían en “acceder a archivos y carpetas, realizar capturas de pantalla, registrar pulsaciones de teclado para robar credenciales”.

Esta operación liderada por cibercriminales no realiza una sola acción, sino que son varias al mismo tiempo para asegurar éxito en sus objetivos. Las etapas de ejecución incluyen el envío de correos de phishing a objetivos específicos, además de archivos maliciosos ocultos en descargas supuestamente inofensivas y virus.

Le puede interesar: Qué son las notificaciones push y por qué pueden ser peligrosas

Según ESET, el primer paso es enviar un correo fraudulento a un colaborador del banco en el que se incluye un documento Word que incluye una supuesta demanda y en el que se encuentra un enlace de descarga a un archivo de Google Drive que contiene un virus que será el encargado de ejecutar los comandos que quiera el delincuente.

En el caso de que la víctima llegue a descargar el documento, se iniciará la segunda etapa del ataque, en el que el archivo se encargará de vulnerar el sistema de seguridad de la compañía para facilitar el desarrollo de la última etapa del proceso. Una vez que se tiene acceso a los documentos del dispositivo infectado, el virus incorporado entra en acción para controlar aspectos relevantes del dispositivo de la víctima como:

- Control remoto sobre el sistema infectado.

- Ejecutar comandos e ingresar a archivos y carpetas del computador de la víctima.

- Retransmitir el contenido de la pantalla de inicio de forma remota.

- Registro de pulsaciones del teclado para determinar cuáles se están pulsando y poder identificar claves de acceso

- Iniciar la descarga y ejecutar los archivos adicionales maliciosos que están presentes en el dispositivo.

Le puede interesar: Estos virus ingresan al computador o laptop y queman su batería

Si bien la “Operación Absoluta” fue identificada, reportada y los enlaces utilizados fueron removidos, estos virus y métodos de ciberataques pueden ser exportados a otros países para seguir perjudicando a más personas y entidades bancarias.

Gutiérrez Amaya indicó también que la Operación Absoluta es un nuevo ejemplo de cómo “los cibercriminales están llevando adelante campañas de espionaje apuntando a blancos de alto perfil en América Latina utilizando virus disponible para su compra o descarga gratuita en foros y grupos de cibercrimen”. Esto se debe a que la mayoría de ataques perpetrados por estos grupos maliciosos utiliza a estos malware como un método útil de infiltración y vulneración de la seguridad.

Para el representante de la compañía de ciberseguridad, es importante que las instituciones bancarias e incluso aquellas vinculadas a los gobiernos estén atentas pues el modo de operar de estos delincuentes puede resultar efectivo en algunas ocasiones y se debe estar listo para evitar que las campañas de espionaje tengan éxito y se proliferen en la región.

Le puede interesar: Cómo identificar mensajes en WhatsApp que descargan virus y generan publicidad automática

En el caso de las víctimas, estas deberán evitar realizar descargas de archivos a sus computadores a no ser que estén completamente seguros de que la persona que envía el archivo es completamente segura y no se hace pasar por alguien más. De esta manera no se podrá en riesgo la seguridad personal, la del banco ni la de los clientes.