El descubrimiento del malware fue divulgado por Kaspersky Lab el día 20 de mayo del presente año. Se calcula que Jumcar ha estado infectando ordenadores de la región desde marzo de 2012. El ataque ha sido calificado como "específico y de alto impacto."
Jumcar. Desde Perú y con foco en América Latina [Parte 1]
El método utilizado por Jumcar para propagar el código malicioso es enviar correos electrónicos mediante servidores previamente comprometidos. Los correos electrónicos se disfrazan como mensajes provenientes de redes sociales e instan al usuario a descargar un archivo. El archivo descargado oculta el código malicioso y lo instala en los ordenadores de los usuarios.
Jumcar inserta en el computador de los afectados código que reorienta las direcciones de entidades financieras a páginas clonadas fraudulentamente, usurpando nombres de usuario y contraseñas de los usuarios afectados. Hasta el momento, se han descubierto páginas clonadas pertenecientes a grandes entidades financieras de Perú, Chile y Costa Rica.
El código malicioso también permite a los delincuentes tomar control del ordenador infectado, permitiéndoles modificar el método del ataque. Esto compromete a más usuarios en países como Colombia, Venezuela y Ecuador; países donde el malware también ha conseguido propagarse.
El avance del ciber-crimen en Latinoamérica ya no es ninguna novedad. Redes de computadoras infectadas (bot-nets) por vOlk-Botnet, Chimba-Botnet, UELP, AlbaBotnet y PiceBOT ya han tenido como objetivo principal vulnerar las redes latinoamericanas. Técnicamente, lo que diferencia a Jumcar de estos ataques es que la totalidad de sus 50 variantes están programadas en lenguaje .NET, mientras que la gran mayoría de los ataques anteriores han sido programados en VB. Además, Jumcar utiliza algoritmos criptográficos simétricos y asimétricos para ocultar funciones específicas en su código fuente.
Otras características que diferencian a Jumcar son:
• Una vez infecta el sistema se oculta en rutas de sistema con el nombre de archivos usuales en Windows.
• Parámetros dinámicos cifrados con AES, TripleDES y RSA
• Todos los sitios vulnerados para propagar el código cuentan con un archivo con los datos de pharming, un programa para enviar correos en masa y una puerta trasera (backdoor)
• Genera claves en el registro del infectado para automatizar su arranque.
Jumcar es una prueba más del mayor grado de sofisticación que están adquiriendo los nuevos ataques a las redes latinoamericanas. EnCase Cybersecurity puede ayudarte identificar ataques regionales que tal vez no tiene firmas en antivirus u otras herramientas de seguridad.
RELACIONADOS
Cómo EnCase Puede Complementar Sistemas de Prevención de Pérdida de Datos (DLP)
Informe: Tendencias en la seguridad cibernética en América Latina y el Caribe y respuestas de los gobiernos
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario