Constructor de BankGhost

Investigadors de ciberseguretat han descobert un anunci basat en Telegram que promociona "BankGhost Builder", una sofisticada plataforma de creació de programari maliciós dissenyada per generar troians bancaris amb comandament i control (C2) integrats, mecanismes de lliurament de phishing i capacitats centrades en el frau. Segons sembla, el constructor s'està distribuint a través de comunitats clandestines de Telegram, cosa que reforça les preocupacions sobre la ràpida expansió de les operacions de programari maliciós com a servei (MaaS).

El marc de programari maliciós està sent comercialitzat per un col·lectiu d'amenaces vinculat a Telegram conegut com a Infrastructure Destruction Squad (IDS), també conegut com a Dark Engine. La seva promoció dins dels ecosistemes ciberdelinqüents demostra un esforç actiu per comercialitzar el desenvolupament avançat de programari maliciós i fer que la ciberdelinqüència financera sigui més accessible a actors menys qualificats tècnicament.

L’Esquadró de Destrucció d’Infraestructures estén la seva influència clandestina

L'Esquadró de Destrucció d'Infraestructures va emergir de manera destacada a finals del 2025 i ha continuat a ser una de les amenaces cibernètiques més preocupants durant el 2026. A diferència de molts grups hacktivistes prorussos que es basen principalment en atacs de denegació de servei distribuït (DDoS) disruptius, l'IDS ha atret l'atenció per presumptes intrusions que impliquen sistemes de control industrial (ICS) i entorns SCADA.

El col·lectiu també s'ha vinculat a activitats clandestines que impliquen la promoció d'eines de pirateria informàtica ofensiva i la publicació de dades robades i filtracions de violacions de seguretat. Amb una audiència de Telegram que supera els 1.600 subscriptors, el grup està contribuint a la propagació accelerada d'amenaces cibernètiques sofisticades simplificant l'accés a capacitats d'atac avançades.

BankGhost Builder combina la implementació de programari maliciós i les operacions de frau

BankGhost Builder s'anuncia com un marc de treball complet contra programari maliciós bancari capaç de donar suport a tot el cicle de vida dels ciberatacs. Segons el material promocional, la plataforma ofereix suport a més de 700 institucions bancàries de l'Índia, Amèrica del Nord, Europa i la regió Àsia-Pacífic.

El creador integra la generació de càrrega útil, la infraestructura de phishing, el desplegament de C2 i l'execució de fraus en un únic ecosistema. Segons s'informa, el seu conjunt de funcions inclou xifratge polimòrfic, emmascarament de processos i tècniques d'injecció de càrrega útil dissenyades per evadir la detecció de les eines de seguretat tradicionals. A més, el programari maliciós admet múltiples canals de comunicació, inclosos els protocols HTTPS, DNS sobre HTTPS, Tor i WebSocket.

La plataforma també conté funcions d'habilitació directa del frau, com ara la recol·lecció de credencials, el segrest de sessions, les injeccions web i tècniques destinades a eludir les proteccions d'autenticació de dos factors. Aquestes capacitats s'assemblen molt a les associades amb famílies de programari maliciós bancari conegudes, com ara Zeus, Dridex i TrickBot, però ara estan empaquetades en un format de creador més fàcil d'implementar.

La reducció de les barreres d’entrada augmenta el risc del sector financer

L'aparició de BankGhost Builder reflecteix la industrialització contínua de la ciberdelinqüència, on les capacitats ofensives avançades s'empaquetan, es comercialitzen i es distribueixen a escala. La seva arquitectura modular i la generació de càrrega útil personalitzable redueixen la dependència d'indicadors estàtics de compromís, cosa que complica els esforços d'atribució i detecció per als defensors.

Els analistes de seguretat alerten que la disponibilitat generalitzada d'aquestes eines probablement accelerarà diverses tendències importants en matèria d'amenaces, com ara:

Augment de les campanyes de programari maliciós impulsades per la suplantació d'identitat (phishing) dirigides a clients i empleats bancaris
Augment dels incidents d'abús de comptes (ATO) i operacions de frau localitzades més sofisticades

Aquests desenvolupaments podrien ampliar significativament l'abast operatiu dels grups ciberdelinqüents que abans no tenien l'experiència per dur a terme atacs bancaris avançats de manera independent.

S’insta les institucions financeres a enfortir les estratègies defensives

Per mitigar la creixent amenaça que representen els creadors avançats de programari maliciós bancari, s'anima les institucions financeres a adoptar estratègies de seguretat basades en la intel·ligència i centrades en el comportament. Les mesures defensives recomanades inclouen:

• Monitorització de l'execució anormal de processos, la manipulació del porta-retalls i el comportament de les captures de pantalla mitjançant l'anàlisi del comportament
• Detecció de patrons de trànsit xifrat sospitosos, incloent-hi comunicacions DNS sobre HTTPS i Tor
• Aplicació de controls estrictes de seguretat del correu electrònic, com ara la aplicació de sandboxes d'adjunts i restriccions en tipus de fitxers d'alt risc, inclosos els fitxers MSI, DLL i EXE.
• Millora dels programes de prevenció del frau mitjançant l'empremta digital dels dispositius, la detecció d'anomalies en les transaccions i la monitorització avançada del comportament

Una estratègia de defensa proactiva i per capes continua sent essencial, ja que les comunitats ciberdelinqüents clandestines continuen accelerant l'adopció i la distribució de plataformes sofisticades de programari maliciós com ara BankGhost Builder.