Un troyano bancario relativamente nuevo, denominado Nexus, se promociona como una suscripción MaaS en los foros de la dark web. Tiene una amplia gama de capacidades requeridas para hacerse cargo de las cuentas bancarias y de criptomonedas, y una lista integrada de vulnerabilidades para más de 450 aplicaciones bancarias y financieras.
Nexus está equipado con varias funciones que lo hacen adecuado para ataques de apropiación de cuentas contra instituciones financieras y servicios de criptomonedas.
- Puede realizar ataques de superposición para engañar a los usuarios y ataques de registro de teclas para robar credenciales.
- Además, permite a sus usuarios interceptar SMS y la aplicación Google Authenticator para leer códigos 2FA. Puede eliminar el SMS recibido e iniciar o finalizar el módulo de robo 2FA.
- El troyano está equipado con un mecanismo de actualización autónomo que sigue comprobando si hay actualizaciones disponibles en los servidores C2 y buscándolas siempre que estén disponibles.
- Los investigadores detectaron además un módulo de encriptación en proceso, que carecía de referencias de uso a su servidor C2. Esto podría ser un intento potencial de usarlo como ransomware.
Algunas de las nuevas incorporaciones a la lista de funcionalidades son su capacidad para eliminar los mensajes SMS recibidos, activar o detener el módulo de ladrón 2FA y actualizarse haciendo ping periódicamente a un servidor de comando y control (C2).
El código fuente de Nexus contiene varias similitudes con el del troyano bancario SOVA, lo que indica cierta reutilización del código. Además, el autor de SOVA, que opera bajo el nombre de Sovenok, comenzó a publicar actualizaciones sobre Nexus.
El troyano bancario Nexus es otro ejemplo del ecosistema MaaS (Malware-as-a-Service) en constante evolución que permite a los desarrolladores de malware monetizar su malware de manera eficiente. Esta es una situación alarmante tanto para las agencias como para las organizaciones de seguridad. Se sugiere a las organizaciones que implementen una sólida postura de seguridad y mantengan el software de seguridad actualizado para mantenerse protegidos.
