Una nueva variante del troyano Zeus apodada Panda Banker ha sido especialmente manufacturada para atacar a los usuarios de los 10 bancos más grandes de Brasil y también otros populares servicios locales.

“La configuración brasileña del archivo Zeus Panda tiene un matiz local notable. Aparte de incluir las URL de los bancos más grandes del país, los operadores de Panda también están interesados en infectar usuarios que acceden a servicios de entrega de una cadena de supermercados brasileña, sitios web locales de aplicación de la ley, proveedores locales de hardware de seguridad en red, pagos de boleto y programas de fidelización específicos para el comercio con sede en Brasil”, encontraron los investigadores de IBM.

“Otros objetivos incluyen inicios de sesión de proveedores de una compañía que ofrece administración de servicios ATM y tecnología de acceso físico seguro para bancos”.

El malware ha sido construido empleando el código fuente de Zeus filtrado en 2011 y modificado para ajustarse al propósito de hacer blanco en los usuarios brasileños.

Las capacidades del malware no son nada extraordinario: puede robar las credenciales de inicio de sesión en tránsito e inyectar código malicioso en las sesiones web en marcha (para mostrar formularios falsos a los usuarios y que los llenen con información sensible).

Pero de acuerdo con los investigadores, el malware es definitivamente “un paso mayor respecto al código malicioso basado en Delphi que es muy común en el país”.

“La metodología del fraude favorita por los operadores de Panda es el robo de cuentas, en el cual las credenciales de la víctima son robadas y empleadas para iniciar una transacción desde otro dispositivo. La víctima es retenida en línea por ventanas pop-up engañosas que requieren contraseñas de un solo uso y permiten al atacante completar una transacción fraudulenta en tiempo real”, agregaron.

Ellos creen que el grupo detrás de este esquema está bien organizado, el equipo profesional de ciberdelincuencia y al menos algunos de sus miembros están ubicados en Brasil. Pero no hay autores del malware, el autor real lo vende en foros de internet obscuros, en paquetes modificados de “cibercrimen como servicio”, para ajustarse a las necesidades de los criminales.

El equipo distribuye el troyano mediante kits de explotación y correos spam llevando bombas atrapadas en documentos de Word y la población del país (arriba de 200 millones) es definitivamente un objetivo lo suficientemente amplio para ataques “genéricos”. Aún así, los criminales se han enfocado en direcciones de correo electrónico de compañías con correos electrónicos especialmente diseñados y personalizados.