Un malware está haciendo de las suyas entre los usuarios de bancos mexicanos como Santander, BanBajio, ScotiaBank, AFIRME, Banregio, Banco Azteca, Multiva, Inbursa, HSBC, Banorte, Citi Banamex y BBVA. BBTok, un troyano bancario analizado por la firma de ciberseguridad 360 Total Security, es capaz de tomar el control de los dispositivos de los usuarios de la banca en México, ya sean individuos o empresas.

Este malware se ha vuelto popular en México y cuenta con una particular característica que le permite evadir a una larga lista de software antivirus, de acuerdo con 360 Total Security. BBTok entra en los dispositivos con sistema operativo Windows cuando un usuario recibe un correo electrónico con un archivo infectado y lo abre y también cuando hace clic en un anuncio con contenido spam, una técnica de ingeniería social conocida como phishing.        

El CSIRT Financiero de la Asociación Bancaria y de Entidades Financieras de Colombia (Asobancaria) también levantó una alerta de importancia “Media” acerca de este malware. Según la institución, BBTok es capaz de impactar a una organización al exfiltrar y capturar sus credenciales bancarias, propagar mensajes mediante spam y suplantar las aplicaciones y páginas de una entidad financiera.    

De acuerdo con Hiram Camarillo, cofundador de la compañía de ciberseguridad Seekurity, las víctimas objetivo de quienes controlan este malware son principalmente las pequeñas y medianas empresas (pymes), que en muchos casos usan equipos con sistema operativo Windows y que no cuentan con los procesos de validación de transferencias bancarias necesarios, con lo que fácilmente pueden caer en este tipo de estafas. 

¿Cómo funciona BBTok?

Después de que ha infectado el dispositivo, sobre todo computadoras personales con sistema operativo Windows, el troyano utiliza un mecanismo de puerta trasera (backdoor) que permite a quien lo controla ejecutar distintos comandos de manera remota. BBTok tiene la capacidad de evadir algunos de los principales software antivirus disponibles en el mercado: Avast, Windows Defender y Panda Antivirus, entre otros.

Con esta intrusión, el ciberdelincuente puede simular instrucciones del teclado, abrir y cerrar ventanas, grabar las pulsaciones del teclado durante un periodo determinado y también enviar alertas relacionadas con la seguridad de los servicios y las aplicaciones de la mayoría de los grandes bancos en México.

“Los piratas informáticos también pueden optar por simular diferentes interfaces de verificación de seguridad falsa bancaria a través de comandos de control de puerta trasera y robar credenciales de inicio de sesión de usuario para Santander, BanBajio, ScotiaBank, AFIRME, Banregio, Banco Azteca, Multiva, Inbursa, HSBC, Banorte, CitiBanamex, BBVA, etc”, apunta 360 Total Security.

Según Camarillo, con este malware, los ciberdelincuentes son capaces de conectarse a cada una de las computadoras infectadas y ejecutar una extensa serie de instrucciones, algo que casi siempre realizan de forma automatizada y que puede tener consecuencias como la sustitución de una cuenta bancaria a la que un usuario quiere realizar una transferencia por una controlada por los ciberdelincuentes o la exfiltración de todos los datos bancarios de una persona u organización.  

Sobre el origen de este malware, el analista de seguridad observó que si bien muchas de las instrucciones dentro del código del troyano están escritas en español, también hay muchas otras escritas en portugués. Aunque la aparición de palabras en español y portugués podría suponer una estrategia para engañar a los investigadores de ciberseguridad,  el posible origen brasileño de este malware coincide con la aparición de familias enteras de troyanos bancarios que han nacido en Brasil y que han sido documentados por firmas como Kaspersky de forma pormenorizada.   

rodrigo.riquelme@eleconomista.mx