Los correos electrónicos son uno de los principales medios de propagación para los códigos maliciosos. En esta ocasión compartimos con ustedes, un ataque orientado a clientes de la banca electrónica, a través de un supuesto software de seguridad para realizar sus transacciones. A diferencia del envenenamiento de DNS que comentamos la semana pasada, el usuario ahora descarga una supuesta aplicación de seguridad, que en realidad roba su información.

El ataque comienza a través de el envío de correos electrónicos de manera masiva, desde una cuenta falsa, asociada a la entidad bancaria, en el cuerpo del correo se encuentra una imagen que contiene un enlace a la descarga del código malicioso:

El texto que acompaña al enlace, hace uso de la Ingeniería Social, no solo con los colores de la institución, sino que también el texto utilizado, el mismo alerta al usuario de que la actualización es obligatoria dentro de un plazo de 48 horas, de manera contraria, su cuenta de Home Banking será suspendida.

Cuando un usuario es víctima de este ataque y descarga la aplicación, en realidad no está instalando un software de seguridad, sino que se trata de un troyano, detectado por ESET NOD32 Antivirus como Win32/Spy.Banker.

Al ejecutar esta amenaza, se presenta un a interfaz gráfica que solicita los datos del usuario, de manera similar al acceso a través de la página oficial:

Sin embargo, mientras el usuario cree que está accediendo a su banca electrónica, toda la información que ingrese en la pantalla está siendo almacenada para luego ser enviada al atacante, sin que este siquiera de se cuenta de ello. A lo largo de la ejecución de el código malicioso se recopilan distintos datos, para luego poder acceder también a su información personal.

Una vez que el usuario ingresa sus credenciales de acceso, pasa a una segunda ventana, en dónde ahora, debe seleccionar cuales son su cuentas e iniciar sesión a través de una clave:

Una vez que el usuario ingresa toda la información bancaria relacionada a sus cuentas, se le solicitan datos personales para su identificación entre los cuales se destacan:

  • Nombre del país
  • Fecha de nacimiento
  • RG: Registro Geral (Regisro General)
  • CPF: Cadastro de Pessoa Física
  • Contraseña de la tarjeta de débito
  • Contraseña telefónica

Una vez que el usuario ingresa su información, la misma es reenviada a través de un correo electrónico a una dirección de gmail, como podemos apreciar en la siguiente imagen:


Este tipo de ataques en contra de usuarios de la banca electrónica, son habituales y buscan engañar a los pasan por alto las medidas de seguridad, o no cuentan con una solución antivirus con capacidad de detección proactiva y es así como caen víctimas de estos códigos maliciosos que roban su información.

Ciertas entidades bancarias, ofrecen aplicaciones de seguridad para validar que el usuario está utilizando una conexión segura o accediendo al sitio oficial, pero las mismas se encuentran disponibles en las páginas de los bancos, y no son enviadas a través de correos electrónicos. En caso de recibir estos correos falsos es recomendable reportarlos con el objetivo de alertar a las personas.

Pablo Ramos
Especialista en Awareness & Research