ESPECIAL.- La compañía de ciberseguridad ESET alertó la reciente actividad de un virus bancario que engaña a sus víctimas a través de correo electrónico con una supuesta transferencia recibida por el Sistema de Pagos Electrónicos Interbancarios, mejor conocido como SPEI y les instala un archivo malicioso con el que además de robar información bancaria, los delincuentes recopilan direcciones de correo e incluso roban las credenciales de acceso de correos electrónicos.
De acuerdo con el laboratorio de investigación de la compañía de ciberseguridad, se identificó una campaña maliciosa que propaga el troyano bancario Casbaneiro dirigida a usuarios de México. Se trata de una de las familias de malware bancario que registra mayor actividad en Latinoamérica en los últimos años.
¿Cómo funciona?
La distribución del virus en este caso se realiza a través de correos que se hacen pasar por comunicaciones legítimas de un reconocido banco internacional para intentar engañar a sus víctimas. El mensaje hace referencia a una supuesta transferencia monetaria realizada mediante el SPEI, el sistema de pagos del Banco de México que liquida transacciones en segundos sin costo.
El correo electrónico incluye un archivo HTML adjunto como imagen llamado “COMPROBANTE_SPEI_161220.html”, que únicamente contiene la etiqueta “meta” para direccionar al usuario hacia un sitio de descargas. La supuesta etiqueta meta es utilizada en las páginas Web para indicar cuándo debe actualizarse el navegador o para direccionar a los visitantes a otro contenido, justo la acción que es realizada en este caso.
Los usuarios son dirigidos hacia un sitio que almacena los archivos, configurado con geolocalización por dirección IP para permitir únicamente conexiones desde México. La página a la cual se direcciona intenta suplantar la imagen de una plataforma de facturación electrónica con el propósito de engañar a los usuarios.
En caso de la víctima avanzar en el proceso para la descarga de los comprobantes es dirigida al sitio WeTransfer para que descargue un archivo llamado “Comprobantes.zip”, la compañía indicó que como ocurre con otros troyanos bancarios que operan una de sus principales características es el uso de largas cadenas de distribución compuesta por múltiples etapas hasta finalmente llegar al payload malicioso.
En la etapa de la descarga, el contenido del archivo comprimido se genera aparentemente de forma dinámica, ya que su nombre y tamaño varían en función de la descarga. A su vez, contiene otros dos archivos, también comprimidos, que una vez descomprimidos muestran dos archivos CMD. Estos son utilizados para descargar y ejecutar código malicioso.
“En este punto el malware ha sido descargado en el sistema del usuario. La carga maliciosa a partir de los archivos CMD obtiene información del sistema y verifica si existen productos antivirus instalados en la máquina comprometida. Además, el malware tiene la función de descargar un segundo payload que, entre otras acciones, está diseñado para robar credenciales de acceso de Outlook y enviarlos al atacante”, inidcó ESET.
Recomendaciones de seguridad
La compañía señaló que la principal recomendación para estar protegido de este tipo de campañas maliciosas es hacer caso omiso de los mensajes que “suenen demasiado buenos para ver verdaderos”, además de contar con una solución antimalware instaladas en el dispositivo.
Asimismo, se debe actualizar la detección de estos códigos maliciosos que pueda realizarse de manera efectiva ya que en la distribución del malware los cibercriminales suelen utilizar técnicas de Ingeniería Social para intentar engañar a los usuarios, por lo que la información y concientización resultan fundamentales para estar preparados y no caer en la trampa.
ard