El mercado de malware as-a-service alcanza su madurez

Malware

Una forma de desarrollo más flexible está permitiendo a los ciberdelincuentes crear soluciones de ataque personalizadas y a medida para cada cliente.

El mercado ilegal también madura y los desarrolladores de malware avanzan con los tiempos. Ahora son capaces de vender malware a medida para robar información personal a los usuarios de la banca online, por ejemplo, un reflejo de la madurez de un mercado en el que los mejores desarrolladores pueden exigir precios más altos.

Dependiendo de su complejidad, un plug-in de inyección web puede costar 2.000 dólares con soporte para varias plataformas, y como ejemplos la empresa de seguridad Trusteer habla de SpyEye, Zeus o Ice IX. También pueden encontrarse inyecciones más genéricas por menos de 50 dólares.

Las inyecciones web se dedican a monitorizar la actividad del navegador y lanzar páginas web falsas o introducir campos falsos sobre web verdaderas cuando una víctima visita un página de banca online. Estas páginas o campos falsos están diseñados para engañar al usuario y que introduzca en ellos información personal como contraseñas o los datos de la tarjeta de crédito.

Los cibercriminales normalmente instalan un malware de inyección web en sistemas ya comprometidos.

En los últimos meses Trusteer ha estado haciendo un seguimiento del mercado clandestino de inyecciones web y, entre otras cosas, se ha dado cuenta de que ha copiado muchas cosas del mercado de software tradicional. Inicialmente los modelos de precios estaban basados en la plataforma del malware, pero ahora han evolucionado y se ofrecen precios por volumen que además puede variar dependiendo de la localización geográfica del objetivo. Además, ahora se ofrecen opciones a nivel de producción, siendo más baratas las creaciones más genéricas y más caras las que tienen plugins a medida, en lo que se ha llamado malware-as-a-service.

Según Trusteer, un cibercriminal puede pagar entre 1.500 y 2.000 dólares a por una inyección web capaz de superar una autenticación de doble factor, inicial una transferencia de dinero y mantener el balance de la cuenta sin cambios para que el fraude no se descubra.

Si la cifra es demasiado alta para su bolsillo, puede encontrar creaciones de entre 100 y 200 dólares por plugins que soliciten múltiples contraseñas a las víctimas, enviar varias notificaciones al panel de administración del malware, o interceptar las contraseñas de un solo uso utilizadas por algunos bancos para autorizar las transacciones online. Por menos de 50 dólares un ladrón puede comprar una inyección web que consiga información sobre el saldo de una víctima y la envíe a un servidor de comando y control.

Se calcula que el año pasado los cibercriminales ganaron un total de 12.500 millones de dólares utilizando una serie de tácticas online para robar números de tarjetas de crédito, información de cuentas bancarias y otros datos.