Un nuevo troyano bancario “BANKER RTC PORTAL” ataca a bancos latinoamericanos y europeos

Publicado por buguroo - 08/08/2019

Desde finales de este pasado mes de julio de 2019, en buguroo estamos detectando una campaña masiva de fraude dirigida a entidades bancarias de Latinoamérica y Europa cuyo objetivo es perpetrar ataques de robo de dinero y credenciales, que está siendo ejecutada desde un malware tipo RAT (Remote Access Trojan) al que hemos bautizado como Banker RTC Portal.

Banker RTC Portal es un troyano bancario que dispone de múltiples funcionalidades, desde keylogger, control remoto, monitorización de procesos de sistema, modificación de contenidos en el dispositivo de cliente e incluso detección y evasión de sistemas de protección antifraude basados en agente local.


¿Cómo funciona?

Según el análisis de buguroo, el modus operandi de este troyano consiste en infectar a la víctima mediante campañas de Spear Phishing dentro de las regiones geográficas citadas.

El malware infecta únicamente dispositivos con sistemas operativos Windows.

Una vez infectado un dispositivo de una víctima, el malware permanece residente a la espera de que el usuario se conecte a la página de su entidad bancaria.

En ese momento el malware se activa y comienza su ataque: mediante una aplicación de escritorio, el malware muestra un popup, con el look&feel del banco, solicitando al usuario que introduzca sus credenciales.

Por detrás y de forma invisible para el cliente final, el atacante toma el control del dispositivo del cliente mediante Remote Access Desktop que permite recolectar y visualizar todas las acciones que la víctima está llevando a cabo.

En esta fase, el malware es capaz de listar los procesos del sistema operativo para detectar si el cliente dispone de algún software de protección antifraude basado en agente local para pararlo automáticamente y así evadirlo.

Cuando el cliente ha proporcionado todas sus credenciales y retos de entrada al banco víctima, el atacante toma el control total de la sesión e inicia el robo de fraude económico a través de una operación rápida de transferencia de dinero ocultando sus acciones a la víctima.

trojan-banker-RTC-Portal-01

Una vez realizado el fraude y enviada toda la información del cliente y credenciales al panel de Command and Control, el propio malware es capaz de eliminarse por si mismo del sistema para evitar dejar rastro.

Es interesante destacar la infraestructura rotativa y resiliente con que se ha diseñado este malware. A través de unos algoritmos de generación de nombres de dominio se obtienen diferentes Google Sites, desde donde se consiguen diferentes IPs para conectar con el C&C, lo que lo hacen bastante difícil de bloquear.



Conclusión

Según analistas de buguroo, a lo largo de 2019 y 2020 se espera ver una profesionalización mayor en este tipo de malwares tipo RAT, que simulan en gran medida el comportamiento de un usuario para poder cometer fraude sin levantar sospechas.

Banker RTC Portal es un malware que no pertenece a ninguna familia que hayamos visto recientemente pero tiene un modus operandi muy similar y reciente a otro troyano bancario Guildma que tuvo una actividad bastante importante durante el pasado mes de Mayo, pues su foco de actividad se centra sobre las mismas regiones, bancos e idiomas. Debido a a esta ausencia de familia desde buguroo lo hemos bautizado con el nombre de “Banker RTC Portal”, haciendo referencia al SDK RealThinClient que utiliza para su implementación.

Nuestra solución bugFraud destaca por no necesitar un agente local corriendo en el sistema (agentless) y detectar este tipo de ataques bancarios basados en RATs que además precisan de interacción de la víctima.

 

Temas: RAT, troyano bancario, Informes de amenazas

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Analizando el riesgo de malware bancario en Android vs. iOS

read more

Atractivo criminal y comportamiento virtual seguro

read more

Overlays: La técnica preferida por los bankers en Android

read more