Contadores, el nuevo objetivo del cibercrimen

Los cibercriminales se están centrando en las PyME y están prestando especial atención a los contadores.

Esta elección es bastante lógica, ya que buscan acceso directo al apartado financiero.

La manifestación más reciente de esta tendencia es el aumento de la actividad de ciertos troyanos, sobre todo Buhtrap o RTM. Aunque tienen diferentes funciones y formas de expansión, cuentan con el mismo propósito: robar dinero a cuentas de empresas.

Normalmente, RTM infecta a las víctimas mediante correos phishing que imitan correspondencia típica empresarial (incluyendo frases como “solicitud de devolución”, “copias de los documentos del último mes” o “solicitud de pago”).

La infección se produce inmediatamente después de dar clic en el enlace o abrir un archivo adjunto, tras la cual los operadores consiguen acceso total al sistema infectado.

Por ahora, se puede afirmar que RTM es uno de los troyanos financieros más activos.

El primer encuentro con Buhtrap se registró en el 2014. Por aquella época, era el nombre de un grupo de ciberdelincuentes que robaba dinero de establecimientos financieros en Rusia. Después de que se hicieran públicos los códigos fuente de sus herramientas en el 2016, el nombre de Buhtrap se utilizó para el troyano financiero.

Buhtrap resurgió a principios del 2017 en la campaña TwoBee, donde se utilizó principalmente como medio de entrega de malware.

Los cibercriminales redujeron su audiencia y se concentraron en un grupo de usuarios en particular: los contadores que trabajan en pequeñas y medianas empresas. Crearon sitios web con información relevante para este sector.

Al igual que la última vez, Buhtrap se está propagando a través de exploits incrustados en medios de noticias. Como es habitual, los usuarios de Internet Explorer se encuentran en el grupo de riesgo. Internet Explorer utiliza un protocolo cifrado para descargar malware de los sitios infectados y eso dificulta el análisis y permite que el malware evite el aviso de algunas soluciones de seguridad.

Como resultado de infección, tanto Buhtrap como RTM proporcionan acceso completo a las estaciones de trabajo comprometidas. Esto permite a los cibercriminales modificar los archivos utilizados para intercambiar datos entre los sistemas de contabilidad y banca. Estos archivos tienen nombres predeterminados y no cuentan con medidas de protección adicionales, por lo que los atacantes pueden cambiarlos como les plazca.

Para protegerse ante tales amenazas, se recomienda prestar atención especial a la protección de computadoras con acceso a sistemas financieros, como los del departamento de contabilidad y administración.

Algunos consejos prácticos:

• Instalar parches y actualizaciones de seguridad para todo el software, tan pronto como sea posible.
• Evitar el uso de herramientas de administración remota en las computadoras del equipo de contabilidad.
• Prohibir la instalación de programas sin aprobación.
• Mejorar la concientización de la seguridad general de los empleados que trabajan con la economía de la empresa y enfocarse en las prácticas antiphishing.
• Instalar una solución de seguridad proactiva con tecnologías de análisis de comportamiento activo como Kaspersky Endpoint Security for Business.

Le invitamos a ponerse en contacto con nosotros para proveerle más información  respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

Fuente https://latam.kaspersky.com/blog/financial-trojans-2019/14086/