Regularmente, los cibercriminales atacan a las pequeñas empresas. Este tipo de compañías no suelen invertir mucho dinero en los sistemas de seguridad online; de hecho, no suelen tener un especialista en TI y, lo que es más importante, es más probable que operen desde tan solo una o dos computadoras, lo que facilita la elección de un objetivo con el tipo de información que suelen buscar los cibercriminales. Con Kaspersky te contamos cómo operan los ciberdelicuentes y cómo protegerte de sus ataques.
Ingeniería social
El aspecto más destacable de este ciberataque a tiendas online es el truco mediante el cual los atacantes convencen al empleado de la tienda para que descargue y abra un archivo malicioso. Envían una carta haciéndose pasar por un cliente que ya ha pagado por el pedido pero que no lo ha recibido. El supuesto cliente afirma que ha habido problemas en la oficina de correos y pide a la tienda que rellene un documento con información (sobre el remitente, el número de seguimiento, etc.). ¿Qué empresario decente ignoraría ese correo?
El correo, en un inglés imperfecto pero comprensible, contiene un enlace a un objeto alojado en Documentos de Google. Si se hace clic en el enlace, comienza la descarga de un archivo, que, como era de esperar, contiene un archivo malicioso; en este caso, uno con extensión .xlsx.
Desde un punto de vista técnico
El ciberataque es simple pero eficaz. En primer lugar, no se trata de un ataque de correo masivo, el texto del mensaje está dirigido en específico a las tiendas online y se envía a una lista de empresas apropiada. Solo se trata de un par de párrafos y un enlace a un servicio legítimo. Por esta razón, es muy poco probable que los filtros automáticos del correo electrónico intercepten el mensaje. No es spam ni phishing y, lo que es más importante, este ciberataque no incluye archivos maliciosos adjuntos.
El archivo XLSX contiene un script que descarga y ejecuta un archivo ejecutable desde un servicio remoto, el troyano bancario DanaBot, ya conocido en nuestros sistemas desde mayo del 2018. El malware tiene una estructura modular y puede descargar complementos adicionales que lo activan para interceptar el tráfico y robar contraseñas e, incluso, monederos de criptomonedas. En estos momentos (según las estadísticas del tercer trimestre del 2019), este troyano bancario se encuentra entre las 10 familias de malware bancario más importantes.
Los objetivos de este ciberataque son las tiendas pequeñas, por lo que es muy probable que el ordenador infectado desde el que los empleados leen correos sea el equipo principal de las operaciones bancarias. Es decir, contendrá toda la información que buscan los atacantes.
Cómo mantenerse protegido de este ciberataque
Carlos Linares, gerente de producto Kaspersky nos cuenta "en primer lugar, todas las computadoras necesitan una solución de seguridad de confianza. Las tecnologías de seguridad Kaspersky no solo identifican DanaBot (como Trojan-Banker.Win32.Danabot), sino que también registran los scripts que descargan este troyano con el veredicto heurístico HEUR:Trojan.Script.Generic. Por tanto, las computadoras que ejecuten soluciones de seguridad de Kaspersky podrán frenar este tipo de ataque incluso antes de que el troyano bancario se descargue en el equipo."
También añade, “la actualización de los programas que más se usen de forma oportuna. Las actualizaciones del sistema operativo y los paquetes informáticos deberían tener la prioridad. Los atacantes suelen utilizar las vulnerabilidades de este tipo de software para enviar malware y troyanos bancarios”.
Y para las empresas más pequeñas recomienda Kaspersky Small Office Security. Esta solución de seguridad de Kaspersky no requiere habilidades especiales de gestión, protege de forma eficaz contra troyanos y también comprueba las versiones de las aplicaciones de terceros.
Por: Redacción NexSys