La catástrofe de Japón ha puesto al mundo en vela y constantemente, la gente se interesa por conocer que es lo que está sucediendo en el país de oriente. Es debido a esto que los desarrolladores de códigos maliciosos  están aprovechándose de este trágico evento para propagar malware.

Recientemente hemos recibido en el Laboratorio de ESET Latinoamérica un correo electrónico que dice contener un enlace a un video que muestra más de  5.000 víctimas encontradas en la playa de Ojika, pero en verdad lo que contiene es un enlace a un código malicioso. El correo recibido solo contenía un enlace, y una captura del mismo se puede observar en la siguiente imagen:Víctimas del terremoto en Japón

El enlace adjunto en el correo redirige a los usuarios a la descarga un troyano detectado como Win32/TrojanDownloader.Banload.PMI. Una vez que esta amenaza es ejecutada,  intenta infectar al equipo con otros tipos de malware en búsqueda del robo de credenciales del usuario, ya sean bancarias o de mensajería instantánea.

Una vez que se realizó la descarga de otros códigos maliciosos se realiza la modificación del archivo host con el fin de efectuar un ataque de phishing orientado principalmente a la banca brasilera. Otra de las modificaciones realizadas al sistema operativo es generar una entrada en el registro para que la amenaza se ejecute al iniciar el equipo. Las amenazas descargadas son detectadas cómo Win32/Spy.Banker.VJU y Win32/Qhost.Banker.FN dos troyanos bancarios.

Para la propagación de la amenaza se hace uso de técnicas de Ingeniería Social, las mismas buscan llamar la atención de los usuarios haciendo hincapié en su preocupación acerca de la catástrofe que azota a Japón y sus víctimas.  Cómo hemos mencionado anteriormente en este espacio, los desarrolladores de códigos buscan la manera de atraer a la mayor cantidad de usuarios haciendo uso de estas metodologías con el objetivo de infectar tantos equipos como les sea posible.

Todos los medios del mundo intentan mantener a la población informada acerca de lo que esta sucediendo en Japón. En los últimos días, la inestabilidad de las plantas nucleares y sus posibles explosiones preocupan a millones de personas que día a día, las mismas ingresan a Internet para encontrar la información más actualizada y reciente acerca de lo que sucede en Asia.

Si nos basamos en los resultados de Google Trends, las búsquedas que realizan los usuarios acerca de la catástrofe ha aumentado de manera considerable, este es un motivo que justifica el accionar de los ciber delincuentes. En el siguiente gráfico se puede apreciar el detalle cómo ha sido el curso de las búsqueda durante el mes de marzo.

Búsquedas en Google sobre catástrofe en Japón

La semana pasada, les comentamos acerca de que los desarrolladores de malware iban a utilizar esta catástrofe para la propagación de sus códigos maliciosos tal cómo lo habían hecho en otras ocasiones,como un claro ejemplo de esto en mayo del año pasado, una falsa alerta de terremoto en Chile se extendía a través de la red y también propagaba un troyano bancario.

Es muy probable que continuemos viendo amenazas que se propagan a través de correos electrónicos falsos o técnicas de Black Hat SEO haciendo uso de la catástrofe de Japón  es por ello que recomendamos a los usuarios estar atentos a este tipo de engaños y que sepan cómo reconocer un correo falso además de contar con una solución antivirus con capacidad de detección proactiva.

Pablo Ramos
Especialista de Awareness & Research