El mercado de malware as-a-service alcanza su madurez

El mercado ilegal también madura y los desarrolladores de malware avanzan con los tiempos. Ahora son capaces de vender malware a medida para robar información personal a los usuarios de la banca online, por ejemplo, un reflejo de la madurez de un mercado en el que los mejores desarrolladores pueden exigir precios más altos.

Dependiendo de su complejidad, un plug-in de inyección web puede costar 2.000 dólares con soporte para varias plataformas, y como ejemplos la empresa de seguridad Trusteer habla de SpyEye, Zeus o Ice IX. También pueden encontrarse inyecciones más genéricas por menos de 50 dólares.

Las inyecciones web se dedican a monitorizar la actividad del navegador y lanzar páginas web falsas o introducir campos falsos sobre web verdaderas cuando una víctima visita un página de banca online. Estas páginas o campos falsos están diseñados para engañar al usuario y que introduzca en ellos información personal como contraseñas o los datos de la tarjeta de crédito.

Los cibercriminales normalmente instalan un malware de inyección web en sistemas ya comprometidos.

En los últimos meses Trusteer ha estado haciendo un seguimiento del mercado clandestino de inyecciones web y, entre otras cosas, se ha dado cuenta de que ha copiado muchas cosas del mercado de software tradicional. Inicialmente los modelos de precios estaban basados en la plataforma del malware, pero ahora han evolucionado y se ofrecen precios por volumen que además puede variar dependiendo de la localización geográfica del objetivo. Además, ahora se ofrecen opciones a nivel de producción, siendo más baratas las creaciones más genéricas y más caras las que tienen plugins a medida, en lo que se ha llamado malware-as-a-service.

Según Trusteer, un cibercriminal puede pagar entre 1.500 y 2.000 dólares a por una inyección web capaz de superar una autenticación de doble factor, inicial una transferencia de dinero y mantener el balance de la cuenta sin cambios para que el fraude no se descubra.

Si la cifra es demasiado alta para su bolsillo, puede encontrar creaciones de entre 100 y 200 dólares por plugins que soliciten múltiples contraseñas a las víctimas, enviar varias notificaciones al panel de administración del malware, o interceptar las contraseñas de un solo uso utilizadas por algunos bancos para autorizar las transacciones online. Por menos de 50 dólares un ladrón puede comprar una inyección web que consiga información sobre el saldo de una víctima y la envíe a un servidor de comando y control.

Se calcula que el año pasado los cibercriminales ganaron un total de 12.500 millones de dólares utilizando una serie de tácticas online para robar números de tarjetas de crédito, información de cuentas bancarias y otros datos.

Silicon Redacción

La redacción de Silicon está compuesta por periodistas y redactores especializados en Tecnologías de la Información y Comunicaciones.

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

2 días ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

3 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

3 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

3 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

3 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

3 días ago