IBM Descubre un troyano bancario UnregStealer que ataca a bancos de América Latina

IBM descubrió un troyano bancario conocido como UnregStealer que se dirige a bancos de América Latina mientras se disfraza como una extensión del navegador Chrome. El investigador senior en amenazas Itzhak Chimino informó que el malware engaña a los usuarios para que lo instalen presentando falsas advertencias de seguridad sobre actualizaciones obligatorias del certificado SSL. El troyano opera con supervisión humana manual, lo que lo vuelve casi invisible para los sistemas de sandbox y detección conductual que nunca ven que la carga útil se active. Este método operativo permite que UnregStealer robe cookies de sesión, contraseñas, contraseñas de un solo uso y números de cuenta de las víctimas que visitan portales bancarios específicos.

UnregStealer se disfraza como actualización de certificado SSL

Según Chimino, UnregStealer engaña a los usuarios mediante advertencias de seguridad fabricadas. Con base en la convención de nombres del ejecutable y el patrón de entrega, se le presentan a las víctimas lo que parece ser una advertencia de seguridad que informa que su navegador requiere una actualización obligatoria del certificado SSL. El certificado es completamente inventado y no existe tal requisito del navegador. Simplemente es una historia de cobertura convincente para que la víctima ejecute un ejecutable.

El malware captura credenciales bancarias mediante monitoreo de sesión

Cuando un usuario navega por internet, el malware ejecuta un script que verifica si la víctima está visitando alguno de los sitios incluidos entre los portales bancarios objetivo. Si es así, el malware roba las cookies de sesión del sitio bancario que está visitando la víctima. Cada vez que se hace clic en un campo y se ingresa información, el malware captura información privilegiada como contraseñas, contraseñas de un solo uso y números de cuenta.

La operación manual permite eludir sistemas de detección

Chimino explicó que este troyano incluye a un operador real que observa cada sesión de la víctima en vivo y activa manualmente el ataque. Esta variante hace que la campaña sea casi invisible para sandboxes y sistemas de detección conductual que nunca ven que la carga útil se active. Una vez capturada la información, el siguiente curso de acción de UnregStealer lo determina su operador humano.

IBM identifica potencial para ampliar el alcance del objetivo

Según Chimino, el malware bancario UnregStealer tiene la capacidad y el potencial para representar una amenaza mayor. Los patrones de infraestructura observados sugieren un operador con la capacidad y la motivación para ampliar el objetivo más allá de lo que esta investigación ha confirmado.

FAQ

¿Qué es UnregStealer y cómo se dirige a las víctimas?

UnregStealer es un troyano bancario que se dirige a bancos de América Latina disfrazándose como una extensión del navegador Chrome. Engaña a los usuarios para que lo instalen mediante falsas advertencias de seguridad sobre actualizaciones obligatorias de certificados SSL, que son completamente inventadas.

¿Cómo elude UnregStealer los sistemas de detección?

El malware incluye a un operador real que observa cada sesión de la víctima en vivo y activa manualmente el ataque. Esta operación manual hace que la campaña sea casi invisible para sandboxes y sistemas de detección conductual que nunca ven que la carga útil se active.

¿Qué información roba UnregStealer a las víctimas?

UnregStealer roba cookies de sesión para sitios web bancarios y captura información privilegiada como contraseñas, contraseñas de un solo uso y números de cuenta cada vez que se hace clic en un campo y se ingresa información en portales bancarios objetivo.