Nuevo troyano Bancario, que afecta a sitios de Brasil

Las amenazas bancarias poseen gran relevancia en el ambiente de la Seguridad Informática, ya que al tratarse de datos sensibles, estos resultan ser muy rentables para los criminales. En esta oportunidad, compartimos un caso que afecta a los usuarios de bancos brasileños, el cual llega al correo electrónico desde una víctima ya infectada por este malware, que se envía automáticamente a la lista de correo. El correo llega al usuario con el asunto del correo siguiente: “Policia Flagra Sexo explicito de menores em boate no rio. Global Famoso aparece em uma das imagens...”. Se puede apreciar una vez más, cómo mediante la Ingeniería Social busca captar la atención de la futura víctima. El cuerpo del correo contiene un supuesto vídeo alojado en el portal YouTube, el cual indica que hay un problema de conexión al reproducir el vídeo. Al final del cuerpo de mail se encuentra otro enlace del supuesto vídeo:

Troyano Bancario de Brasil

Los datos del archivo son los siguientes:

  • Nombre del archivo:
    br.youtube.com-2145534sexo_explicito_em_boate_do_rio_de_janeiro.exe
  • MD5: d6db80a6d8de0f605aa2ecd379442912

Una vez que la víctima es infectada por este troyano, el cual es detectado por ESET NOD32 con el nombre de Win32/TrojanDownloader.Banload.PMI, este añade al inicio el archivo igfxtrai.exe, a la siguiente rama de inicio.

  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionrun

Uno de los datos más relevantes de este malware, es que una vez que la víctima se encuentra infectada este realiza cambios en el archivo host de Windows (lo que se conoce como un ataque de pharming local), en donde se pueden observar un total de 63 sitios tanto de bancos como también de otros servicios de Internet, a los cuales se le realiza un ataque de phishing para robar datos de acceso de los usuarios:

Troyano Bancario de Brasil host

Algo llamativo sobre esta amenaza es que el mail se encuentra escrito en español y los sitios bancarios son todos de origen brasileño. Otro dato relevante es que las direcciones IP de estos sitios se encuentran alojadas en servidores de origen chino.

Los fraudes del tipo bancario poseen cada vez más, cuidado en los detalles, ya que a la hora de engañar a la victima, estos son los que marcan la diferencia. Es necesario que a la hora de navegar en Internet, se tomen los recaudo necesarios y más si se trata de manejar información del tipo bancaria: verificar la autenticidad del sitio bancario o contar con un solución antivirus son unas de las tantas recomendación que siempre les sugerimos a los usuarios.

Para más información sobre este tipo de ataques, pueden ver nuestro Video Educativo sobre Pharming Local.

Claudio Cortés Cid
Especialista de Awareness & Research

Autor , ESET

Síguenos