Se han descubierto nuevas campañas de fraude relacionadas con el troyano bancario Medusa (TangleBot), que había eludido la detección durante casi un año. Un análisis publicado por investigadores de Cleafy la semana pasada reveló que esta sofisticada familia de malware, identificada por primera vez en 2020, ha resurgido con cambios significativos. Este malware, conocido por sus capacidades de troyano de acceso remoto (RAT), incluye registro de teclas, control de pantalla y lectura/escritura de SMS, lo que permite a los actores de amenazas ejecutar fraude en el dispositivo (ODF), una forma altamente peligrosa de fraude bancario. Los hallazgos recientes muestran discrepancias entre las nuevas muestras de Medusa y las variantes más antiguas, y las versiones posteriores utilizan un conjunto de permisos más ligero y nuevas características como pantallas superpuestas de pantalla completa y desinstalación remota de aplicaciones. Medusa inicialmente apuntó a instituciones financieras turcas, pero se expandió a América del Norte y Europa en 2022. Sus capacidades RAT permiten a los actores de amenazas un control completo de los dispositivos comprometidos utilizando VNC para compartir pantalla en tiempo real y servicios de accesibilidad. Esto facilita ataques peligrosos como la apropiación de cuentas (ATO) y el fraude del sistema de transferencia automática (ATS). Cleafy ha identificado cinco botnets diferentes operadas por afiliados, cada una de las cuales apunta a diferentes áreas geográficas y utiliza señuelos únicos. Los objetivos ahora incluyen no sólo Turquía y España sino también Francia e Italia. También se observó un cambio notable en la estrategia de distribución, ya que los actores de amenazas utilizan «cuentagotas» para distribuir malware mediante procedimientos de actualización falsos. Lea más sobre malware bancario: El malware de banca móvil aumenta un 32% El malware coordina sus funcionalidades a través de una conexión web segura a la infraestructura de los atacantes, obteniendo dinámicamente la URL del servidor de comando y control (C2) de perfiles de redes sociales como Telegram y X. (anteriormente Twitter). Esta recuperación dinámica aumenta la resistencia contra los intentos de derribo. El cambio estratégico de la última variante de Medusa minimiza los permisos necesarios y evade la detección, lo que le permite operar sin ser detectado durante períodos más prolongados. «La combinación de permisos reducidos, diversificación geográfica y métodos de distribución sofisticados subraya la naturaleza evolutiva de Medusa», se lee en el aviso. “Como las AT [threat actors] Para perfeccionar sus tácticas, los expertos en ciberseguridad y los analistas antifraude deben mantenerse alerta y adaptar sus defensas para contrarrestar estas amenazas emergentes”.