Expertos en ciberseguridad advierten sobre nuevos ataques dirigidos al sector bancario y su cadena de suministro empleando software de código abierto. La compañía Checkmarx ha publicado un informe revelando prácticas sofisticadas empleadas por los atacantes, lo que representa un preocupante riesgo para la seguridad financiera.
Un ataque a la cadena de suministro es una estrategia maliciosa en la que los ciberdelincuentes intentan comprometer la seguridad de una organización o empresa a través de la manipulación de su cadena de suministro. Esta cadena de suministro abarca todos los procesos, personas, tecnologías, recursos y actividades involucradas en la producción, distribución y entrega de bienes y servicios.
Estos ataques se caracterizan por su nivel de complejidad y el uso de técnicas avanzadas, como la focalización de componentes específicos en los activos web del banco objetivo mediante la incorporación de funcionalidades maliciosas. Para aumentar la credibilidad, incluso crearon perfiles falsos en LinkedIn y desarrollaron servidores de comando y control (C2) personalizados para cada objetivo, aprovechando servicios legítimos para sus actividades ilícitas.
Uno de los ataques ocurrió a principios de abril de 2023, donde el autor del malware se hizo pasar por un empleado del banco objetivo y subió dos paquetes al registro npm. Estos paquetes contenían un script de preinstalación que activaba la secuencia de infección. Además, como mencionamos anteriormente, el atacante creó una página falsa en LinkedIn para respaldar su engaño.
El script utilizado determinó el sistema operativo del host y descargó un malware desde un servidor remoto, utilizando un subdominio en Azure que incluía el nombre del banco afectado. Esta técnica les permitió entregar la carga de manera eficiente, evitando los métodos tradicionales de detección debido al estatus legítimo de Azure.
El malware, llamado Havoc, es un comando y control (C2) de código abierto que ha llamado la atención de actores maliciosos debido a su capacidad para eludir la detección de herramientas de seguridad bien conocidas.
En otro ataque, que en principio no está relacionado, detectado en febrero de 2023 y dirigido a otro banco, los atacantes subieron a npm un paquete meticulosamente diseñado para integrarse en el sitio web de la víctima y permanecer inactivo hasta nueva orden. El objetivo de este paquete era interceptar de manera secreta los datos de inicio de sesión y enviarlos a una infraestructura controlada por los atacantes.
La seguridad de la cadena de suministro es crucial para proteger el proceso de creación y distribución de software, desde sus primeras etapas de desarrollo hasta su entrega al usuario final. Una vez que un paquete malicioso entra en el sistema, el ataque se desencadena instantáneamente, lo que dificulta la implementación de contramedidas efectivas.
Estos ataques ocurren en un contexto preocupante, donde el grupo de cibercriminales RedCurl, con sede en Rusia, ha comprometido con éxito un importante banco ruso y una empresa australiana en noviembre de 2022 y mayo de 2023 respectivamente. Su objetivo era obtener secretos corporativos e información de empleados mediante una sofisticada campaña de phishing, según un informe de la rama rusa de Group-IB, F.A.C.C.T.
Este grupo ruso ha llevado a cabo al menos 34 ataques durante los últimos cuatro años y medio, afectando a empresas en diferentes países, incluidos el Reino Unido, Alemania, Canadá, Noruega, Ucrania y Australia. Entre las víctimas se encuentran empresas de diversos sectores, como construcción, finanzas, consultorías, minoristas, bancos, compañías de seguros y firmas legales.
Por otro lado, las instituciones financieras también han sido blanco de ataques que utilizan una herramienta de inyección web conocida como drIBAN. Esta herramienta permite realizar transacciones no autorizadas desde el ordenador de la víctima, evitando la verificación de identidad y los mecanismos antifraude de los bancos.
Según el análisis realizado por los investigadores de Cleafy, Federico Valentini y Alessandro Strino, «la funcionalidad principal de drIBAN es el motor ATS (Sistema de Transferencia Automática)». ATS es una clase de inyecciones web que modifica en tiempo real las transferencias bancarias legítimas realizadas por el usuario, cambiando el beneficiario y transfiriendo el dinero a una cuenta bancaria ilegítima controlada por los atacantes o sus afiliados, quienes luego se encargan de manejar y lavar el dinero robado.
Ante estos nuevos y sofisticados ataques, los expertos enfatizan la importancia de fortalecer las medidas de seguridad y adoptar prácticas más rigurosas para proteger tanto la cadena de suministro de software como los sistemas financieros. Solo a través de una colaboración estrecha entre las instituciones bancarias y las empresas de ciberseguridad será posible hacer frente a estas amenazas en constante evolución y proteger los activos financieros de manera efectiva.
Más información
- https://www.facct.ru/blog/redcurl-2023/
- https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter-2
- https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter-3
- https://checkmarx.com/blog/first-known-targeted-oss-supply-chain-attacks-against-the-banking-sector/
Deja una respuesta