DEFINICIÓN DEL VIRUS
Tipo de virus: amenaza persistente avanzada, troyano, malware.
¿Qué es Metel?
Metel es un troyano bancario (también conocido como Corkow) descubierto en 2011 cuando se utilizó para atacar a usuarios de servicios de banca online. En 2015, la banda responsable del troyano Metel comenzó a atacar bancos e instituciones financieras directamente.
¿Qué se puede hacer?
Después de la etapa de la infección, los criminales se mueven lateralmente con la ayuda de herramientas legítimas y de Pen Testing, y roban las contraseñas de sus primeras víctimas (punto de entrada) para acceder a los ordenadores de la organización que tienen acceso a las transacciones de dinero. Con este nivel de acceso, la banda ha podido conseguir un ingenioso truco al automatizar la reversión de transacciones realizadas en cajeros automáticos. Esto significa que se puede robar dinero de los cajeros automáticos a través de las tarjetas de débito, mientras que el saldo de las tarjetas sigue siendo el mismo, lo que permite múltiples transacciones en diferentes cajeros automáticos.
¿Quiénes son las víctimas de sus ataques?
Las víctimas que hemos observado se limitan a bancos e instituciones financieras.
Sus principales objetivos dentro de estas organizaciones son los siguientes:
- En bancos, la base de datos de banca online: los criminales pueden jugar con el saldo de las tarjetas.
- En empresas, un ordenador del departamento de contabilidad con un sistema Cliente-Banko que tiene acceso a las transacciones de dinero. Los criminales pueden sustituir los detalles bancarios de una transacción real o procesar manualmente las transacciones fraudulentas.
- API de servidores de pago: hay software que indica cuánto dinero se debe transferir a un número de teléfono específico. Los criminales pueden jugar con esta API, lo que hace pensar que un cliente está transfiriendo 10 000 rublos (alrededor de 120 USD) a un gran número de números de teléfono.
¿Estoy en riesgo?
Hasta ahora, los investigadores de Kaspersky Lab han identificado ataques solo en Rusia. Aun así, hay motivos para sospechar que la infección está mucho más extendida, y se aconseja a los bancos de todo el mundo que comprueben de manera proactiva la presencia de infección.
¿Cómo puedo saber si estoy infectado?
Los productos de Kaspersky Lab detectan y bloquean correctamente el malware utilizado por Metel con los siguientes nombres de detección:
Trojan-Dropper.Win32.Metel; Backdoor.Win32.Metel; Trojan-Banker.Win32.Metel
También se pueden encontrar indicadores de compromiso en una entrada de blog en Securelist.
¿Cómo puedo protegerme?
Para elevar el nivel de protección, se recomienda que las organizaciones utilicen System Watcher, que incluye el módulo BSS (firmas de comportamiento en flujo). Este se incluye en todos los productos y soluciones modernos.
Para estar protegido, asegúrate de que estás utilizando soluciones antimalware avanzadas, como Kaspersky Endpoint Security for Business. Además, presta atención a tu concienciación sobre la ciberseguridad para asegurarte de que puedes identificar correos electrónicos de phishing en tu cuenta de correo electrónico.
Por supuesto, ofrecer una multitud de potentes niveles de seguridad de endpoints no es suficiente. El spear phishing, una de las técnicas más populares para la infección inicial, hace que sea imprescindible contar con una solución de seguridad para el correo fiable. Kaspersky Security for Mail Server analiza los correos electrónicos entrantes para comprobar la presencia de archivos adjuntos y URL maliciosos, lo que reduce considerablemente las posibilidades de que el malware llegue a sus víctimas.
