Investigadores de seguridad han descubierto una campaña de ataque cibernético que ha robado con éxito más de un millón de dólares de una gran variedad de empresas utilizando correos electrónicos de phishing dirigido, malware y trucos de ingeniería social.

La campaña, nombrada "The Dyre Wolf" por los investigadores de la división de Inteligencia de Seguridad de IBM, se centra en las empresas y organizaciones que utilizan transferencias electrónicas para movilizar grandes sumas de dinero, incluso si la transacción está protegida por la autenticación de 2 factores.

Hoy en día, los cibercriminales no sólo dependen de los troyanos bancarios para obtener credenciales financieras, también hacen uso de sofisticadas tácticas de ingeniería social para atacar a las grandes corporaciones, que con frecuencia realizan transferencias electrónicas.

"Una banda con experiencia y con recursos es la que opera Dyre", publicó John Kuhn, Investigador Senior de Amenazas del IBM Managed Security Service, en un blog publicado el jueves.

"[Dyre] fue utilizado en gran medida para hacer ciberataques durante el año pasado y ahora se ha trasladado a un nuevo escenario en donde se busca atacar a cuentas corporativas a través de la incorporación de estafas de ingeniería social."

Además de los avanzados trucos de ingeniería social, la banda criminal detrás de Dyre también emplea ataques de denegación de servicio (DDoS) contra el banco o negocios específicos con el fin de distraer la atención, además de impedir que las víctimas de la estafa hagan contacto con el banco hasta que es demasiado tarde.

El ataque comienza con un spear phishing de correo electrónico que llega a la organización con un archivo adjunto que se hace pasar por un documento de importancia económica, como una factura, pero en realidad es un Upatre downloader.

Una vez abierto, el Upatre descarga y ejecuta el troyano Dyre en el sistema de la víctima, de acuerdo con investigadores de IBM, la mayoría de los programas antivirus no pudieron detectarlo.

El troyano Dyre tiene la capacidad de secuestrar la libreta de direcciones de la víctima y enviar correos electrónicos masivos a todos ellos a través de Outlook. El malware entonces supervisa las actividades de la víctima y se mantiene en espera.

El proceso se pone interesante cuando la víctima con un equipo infectado intenta iniciar sesión en uno de los sitios bancarios que el troyano está programado para monitorear, Dyre muestra una nueva pantalla con un mensaje que indica que el sitio está experimentando algunos problemas y que se debe llamar al número proporcionado para realizar la transacción.

Una vez que se llama al número dado, la víctima será asistida por una persona real. Esta es la singularidad y la extensión del truco de ingeniería social utilizada por los atacantes de Dyre, utilizan personas reales como parte de su ataque.

Los atacantes, luego de recuperar toda la información de la víctima y --tan pronto como ésta cuelga el teléfono, realizan una transferencia bancaria.

En ese momento, cuando el dinero se transfirío de un banco a otro y para eludir la detección por el banco y la aplicación de la ley, la página web de la organización objetivo sufrirá un ataque DDoS. La idea detrás del ataque DDoS es evitar que la víctima acceda a su cuenta bancaria.

Los investigadores de seguridad de IBM recomiendan los siguientes pasos para los usuarios con el fin de protegerse contra este tipo de ataques:

• Las organizaciones deben capacitar a sus empleados en cuanto a mejores prácticas de seguridad.
• Realizar ejercicios de  simulacros de phishing donde los empleados reciben correos electrónicos o archivos adjuntos que simulan un comportamiento malicioso. Luego, utilizando los hallazgos, se discuten las amenazas a la seguridad.
• Proporcionar capacitación de seguridad a sus empleados con el fin de ayudar a comprender las amenazas y las medidas que pueden tomar para proteger a su organización.
• Recordatorios periódicos sobre las campañas de phishing y de spam.
• Puesto que los bancos nunca solicitan credenciales bancarias, los empleados deben ser capacitados para no proporcionar esta información.