Llegamos a ustedes gracias a:



Columnas de opinión

El malware Snifula atenta contra bancos en Norte y Sur América

Por: Luis Miguel Betancourt, experto de Easy Solutions

[21/08/2014] La familia de malware Snifula ha creado una temida reputación en Japón al dirigir sus ataques tanto a grandes instituciones financieras multinacionales como a sus contrapartes regionales. No obstante, la efectividad de este malware esta igualmente dejando en una grave situación de riesgo a bancos en otras partes del mundo, incluyendo Norte y Sur América. De hecho, nuestras investigaciones indican que la mayoría de instituciones en el hemisferio occidental han sido atacadas por alguna variante de Snifula.

Snifula no solo roba dinero
El malware Snifula es capaz de robar certificados almacenados en los dispositivos de los usuarios finales, pero lo interesante es que Microsoft Windows tiene una función API pública que permite que esto suceda. Esta función es llamada PFXExportCertStoreEx, y se encarga de exportar los certificados además de las claves privadas asociadas desde el almacén de certificados referenciados cuando estén disponibles (1). Snifula es también capaz de tomar capturas de pantalla, robar cookies, historiales, y chaches de Internet, destruyendo y corrompiendo los sistemas Windows. Igualmente, está en capacidad de hacer que el dispositivo del usuario final funcione como un servidor proxy, permitiéndole al cibercriminal emplear la dirección IP del usuario para realizar conexiones a Internet de forma incógnita.

Y como si todo esto no fuera suficiente, Snifula cuenta con una gran variedad de características de malware bancario, tales como la manipulación y control del navegador, siendo posible combinarlo con funciones de malware más convencionales como la habilidad para robar archivos, información confidencial e historiales de navegación. De la misma forma, Snifula incluye herramientas de control remoto, comandos ejecutables, y servidores proxy Socks5 utilizados para enrutamiento de conexiones. Incluso puede desactivar el sistema operativo de un dispositivo. La capacidad de Snifula para robar certificados y claves privadas amplia los horizontes del fraude y de la violación de datos para los cibercriminales, ya que una vez que los certificados y la claves son robadas, un criminal perfectamente puede firmar software y hacerse pasar por un fabricante legítimo y una fuente de confianza en futuros ataques.

El Impacto
Snifula es un ejemplar de malware bastante evolucionado, el cual ha estado creciendo y fortaleciéndose desde el 2006, incorporando capacidades cada vez más complejas y con mayor alcance, dejando así a las instituciones financieras y a las empresas en una situación de riesgo a escala global.

¿Qué se Puede Hacer?
Como hemos visto en repetidas ocasiones, este tipo de ataques continuarán sucediendo a medida que la gente continúe utilizando email, Twitter y demás sitios que comparten la información personal. Comparemos este malware con un tipo de virus con el que todos estamos muy familiarizados: la gripa. Diariamente estamos expuestos a este virus, pero eso no nos impide ir a trabajar, a estudiar, o tener una vida social, incluso si de esta forma se incrementa el riesgo de contraer dicha enfermedad. Basándonos en el seguimiento de este tipo de malware y de las funciones que emplea para robar las credenciales bancarias de los usuarios, podemos decir con certeza que tendrá un papel de gran importancia en el entorno de fraude del futuro cercano.

La mejor recomendación que podemos hacer a las instituciones bancarias y a las empresas es la implementación de detección proactiva del fraude en todas las etapas del ciclo de vida de los ataques, especialmente en las etapas de planeación y lanzamiento, y el monitoreo frecuente de los mercados negros para así poder reaccionar más ágilmente en caso de encontrarse como blanco activo del fraude.
CIO, Perú

1. Malware analysis report of a Backdoor. Snifula variant by CIRCL - Computer Incident Response Center Luxembourg and National CERT of Luxembourg.