Descubren malware para el robo de datos bancarios en la nube de Amazon

Mónica Tilves,

Una instancia de Amazon Web Services está siendo utilizada por ciberdelincuentes brasileños para difundir software malicioso, según Kaspersky Labs. El malware detectado tiene la capacidad de bloquear varios programas de seguridad mientras se hace con información de terceros.

Un experto en seguridad de Kaspersky Lab ha descubierto que los servicios cloud de Amazon están siendo utilizados por cibercriminales para propagar malware con el objetivo de robar datos financieros.  En concreto una instancia en Amazon Web Services contiene “un montón de diferentes” códigos maliciosos, que habrían sido descargados ya en algunos ordenadores, según explica en el blog Securelist el investigador en cuestión, Dmitry Bestúzhev.

Algunos de esos programas actúan como un rootkit, buscando y bloqueando la ejecución de al menos cuatro antivirus: AVG, Avira AntiVir, ESET y el Alwil Software de Avast. También es capaz de detectar una aplicación de seguridad especial llamada GBPluggin, que utilizan las instituciones financieras brasileñas para proteger transacciones bancarias online.

Los ciberdelincuentes son brasileños, según Kaspersky, ya que tienen varias cuentas registradas previamente en la mano que se utilizaron para poner en marcha la infección.
Los ciberdelincuentes son brasileños, según las cuentas registradas previamente para poner en marcha la infección

A mayores, los atacantes se han asegurado de que las muestras de malware estuviesen protegidas por el software antipiratería The Enigma Protector. De este modo, especula Bestúzhe, complican el proceso de ingeniería inversa del software malicioso.

El malware detectado es capaz de robar información financiera de nueve bancos brasileños y dos bancos internacionales. También se hace con información de la CPU, el número de volumen del disco duro y el nombre del equipo, datos que coinciden con los recogidos por algunos bancos de América Latina durante el proceso de acceso a las cuentas online para autenticar a sus clientes.

Eso no es todo, ya que está preparado para robar credenciales de Microsoft Live Messenger y certificados digitales utilizados por eTokens en el ordenador afectado. La información es luego enviada por correo electrónico a la cuenta del atacante en Gmail o utilizando un script PHP especial con el que insertar los datos en una base de datos remota.

Kaspersky notificó a Amazon la existencia de los enlaces maliciosos el fin de semana pasado, pero un portavoz de la compañía ha confirmado que todavía están activos.