Uno de los riesgos informáticos que más creció durante 2020 fueron los troyanos bancarios destinados al robo de información de los usuarios. En Latinoamérica, Brasil es el país en donde más se han detectado este tipo de amenazas , pero México no está exento y como prueba de ello debes tener cuidado con un falso correo de SPEI.
La compañía de seguridad informática , ESET , detectó una campaña maliciosa en México que busca distribuir el malware bancario Casbaneiro para robar la información de los correos electrónicos de los usuarios.
Casbaneiro es una de las familias de malware bancario que ha registrado mayor actividad en Latinoamérica en los últimos años y que en este caso se está propagando a través de un correo que intente hacerse pasar por un reconocido banco internacional para intentar engañar a las víctimas.
El mensaje hace referencia a una supuesta transferencia monetaria realizada mediante el Sistema de Pagos Electrónicos Interbancarios (SPEI) e incluye un archivo HTML adjunto como imagen llamado “COMPROBANTE_SPEI_161220.html”, que únicamente contiene la etiqueta “meta” para direccionar al usuario hacia un sitio de descargas.
La etiqueta meta, explica ESET, es utilizada en las páginas web para indicar cuándo debe actualizarse el navegador o para direccionar a los visitantes a otro contenido, justo la acción que es realizada en este caso.
¿Qué pasa si se da clic?
Cuando el usuario da clic al archivo, es dirigido hacia un sitio configurado con geolocalización por dirección IP para permitir únicamente conexiones desde México. En caso de intentar acceder desde una ubicación distinta, no se podrá observar el contenido del sitio.
La página a la cual se direcciona intenta suplantar la imagen de una plataforma de facturación electrónica con el propósito de engañar a los usuarios. Sin embargo, al revisar elementos como la dirección URL se observa que no se corresponde con la dirección del sitio legítimo.
En caso de que la víctima avance en el proceso para la descarga de los comprobantes es dirigida al sitio WeTransfer para que descargue un archivo llamado “Comprobantes.zip”.
En la etapa de la descarga, el contenido del archivo comprimido se genera aparentemente de forma dinámica, ya que su nombre y tamaño varían en función de la descarga. A su vez, contiene otros dos archivos, también comprimidos, que una vez descomprimidos muestran dos archivos CMD . Estos son utilizados para descargar y ejecutar código malicioso. ESET destaca que este tipo de archivos contienen instrucciones almacenadas como texto sin formato y son utilizados en los sistemas operativos Windows .
Desde ESET mencionan que las instrucciones de los archivos CMD son utilizadas para formar un comando escrito en PowerShell, y que en este caso la instrucción creada funciona como un downloader, ya que se encarga de descargar y ejecutar un segundo programa malicioso.
“En este punto el malware ha sido descargado en el sistema del usuario. La carga maliciosa a partir de los archivos CMD obtiene información del sistema y verifica si existen productos antivirus instalados en la máquina comprometida. Además, el malware tiene la función de descargar un segundo payload que, entre otras acciones, está diseñado para r obar credenciales de acceso de Outlook y enviarlos al atacante” comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Consejos de seguridad
ESET señala que la principal recomendación para estar protegido de este tipo de campañas maliciosas es contar con una solución antimalware instalada en el dispositivo. La misma debe estar actualizada y correctamente configurada para que la detección de estos códigos maliciosos pueda realizarse de manera efectiva.
“Además, para evitar ser víctimas de estas campañas que buscan comprometer el equipo de la víctima para robar información, se debe hacer caso omiso de los mensajes que suenan demasiado buenos para ser verdaderos, ya que por lo general ocultan malas intenciones. Es importante tener presente que para la distribución de malware los cibercriminales suelen utilizar técnicas de Ingeniería Social para intentar engañar a los usuarios, por lo que la información y concientización resultan fundamentales para estar preparados y no caer en la trampa”, finalizó Gutiérrez.