La semana pasada, Kaspersky Lab realizó la próxima conferencia de Security Analyst Summit. El evento tradicionalmente revela información sobre el estudio de los ciberataques más complejos descubiertos por especialistas del Laboratorio y otras compañías. Hoy tenemos una breve descripción general de las presentaciones, y no comenzaremos con APT, sino con fraude financiero en el ciberespacio.
El informe del equipo GReAT muestra que el robo de dinero en la red llega a un nuevo nivel, y los atacantes están tratando de eludir incluso los sistemas antifraude avanzados.
Para bloquear una operación sospechosa cuando un atacante ya tiene acceso a un sistema de pago, banca en línea o información de tarjeta de crédito si hay un modelo de comportamiento normal del cliente en la red: dónde accede a la red, desde qué computadora, qué navegador usa y etc. En total, más de cien características indirectas diferentes ayudan a distinguir al verdadero propietario de una cuenta bancaria de un cibercriminal, incluso si se ingresan los detalles de pago correctos. Una consecuencia lógica de la introducción de tales sistemas fue la aparición en el mercado negro de no números de tarjetas de crédito, sino más bien, copias de la identidad digital de las víctimas.
El estudio muestra un ejemplo del intercambio subterráneo Genesis Store. En el momento de la publicación, más de 60 mil personalidades digitales se pusieron a la venta allí. Ejemplos de lotes en la captura de pantalla a continuación:
El valor del lote se calcula automáticamente; Si el kit contiene una contraseña para la banca en línea, el precio será más caro. El precio promedio es de 5 a 200 dólares. Una vez comprado, su identidad digital se puede descargar a través del complemento de Chrome. Si obtiene la dirección IP en la región de origen de la víctima, hacer pagos al banco no parecerá sospechoso. Para aquellos que desean ahorrar, el mismo recurso ofrece descargar un conjunto artificial de identificadores. La tecnología es bastante simple, pero suena impresionante: no es un robo de contraseña, de hecho, es clonar personas, hasta ahora solo en línea y solo en términos de sistemas para combatir el fraude financiero.
Pasemos a APT. Una tendencia clara en los ataques dirigidos modernos es la reducción en el radio de destrucción. Un buen ejemplo es el ataque
ShadowHammer , teóricamente capaz de golpear decenas de miles de computadoras portátiles y computadoras con hardware Asus, pero de hecho solo estuvo activo en una lista limitada de varios cientos de direcciones MAC.
La campaña TajMahal (
noticias ,
investigación ) opera más de 80 módulos maliciosos, pero fue extremadamente difícil de detectar. Los investigadores encontraron solo una víctima confirmada: una misión diplomática en uno de los países de Asia Central. Entre las características del ataque está la capacidad de robar datos de medios extraíbles, pero solo de acuerdo con la lista de archivos de interés cosidos en el código. Cuanto más preciso sea el ataque y menor sea la lista de víctimas, más tiempo podrá sobrevivir el kit de herramientas, antes de que sea detectado y bloqueado por decisiones defensivas.
Los expertos de Lookout dijeron (
noticias , una
publicación en el blog de la compañía) en la conferencia Kaspersky SAS sobre el spyware Exodus. A principios de abril, el grupo Seguridad sin Fronteras
habló sobre este troyano: encontraron 25 versiones de una utilidad de software espía en la tienda de aplicaciones Google Play. Lookout descubrió la versión de Exodus para iOS, firmada por el certificado oficial de desarrollador.
El programa (tanto en la versión para Android como para iOS) se distribuyó en sitios de phishing que imitan las páginas de los operadores móviles en Italia y Turkmenistán. Se informó a los usuarios que el software supuestamente era necesario para conectarse a los puntos de acceso Wi-Fi. De hecho, el troyano podría enviar información personal desde el teléfono al servidor remoto: contactos, fotos, video, datos GPS. Incluso existía la posibilidad de encender remotamente el micrófono.
Un
estudio interesante habla sobre los problemas (de conocidos en Rusia) con el reemplazo de una tarjeta SIM para acceso posterior a servicios de red y el robo de dinero a través de la banca en línea. Para Brasil, incluso hay cotizaciones en el mercado negro para la emisión de una nueva tarjeta SIM, de 10 a 40 dólares, dependiendo del operador de telecomunicaciones (los teléfonos de personas famosas costarán más). En Mozambique, la sustitución de tarjetas generalmente se realiza con el objetivo de acceder al muy popular sistema de pago electrónico M-Pesa ($ 5 mil millones por año de facturación), además de la banca en línea tradicional. Están luchando contra un ciberdelincuente de una manera bastante original: todos los operadores móviles en tiempo real intercambian datos con los bancos. Esto le permite bloquear automáticamente todos los pagos utilizando el número de teléfono por el cual la tarjeta SIM ha sido reemplazada recientemente. El período de bloqueo es corto, hasta dos días, pero suficiente para que la víctima detecte un problema y restablezca el acceso.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.