Llegando a fin de año y en medio de las festividades, compartimos con ustedes el análisis de un ataqué que se está realizando en Perú y que utiliza técnicas de Ingeniería Social con el objetivo de engañar a los usuarios y obtener sus datos personales.  A través de correos falsos se está enviando un supuesto sorteo de entradas de cine y un cero kilómetro, en realidad quienes caen víctimas de este ataque acaban por convertir sus equipos en parte de una botnet, exponiéndose a que sus credenciales bancarias caigan en manos de los ciber criminales.

En primera instancia la posible víctima recibe un correo electrónico que los invita a participar del sorteo. Cómo pueden observar en la siguiente imagen, sus chances de ganar serán mayores si reenvía el correo a todos sus contactos, logrando así aumentar la cantidad de personas que reciben este troyano, detectado por ESET NOD32 Antivirus como Win32/KlovBot. Además la redacción del correo presenta la falta de acentos y otros errores ortográficos:


Uno de los puntos para identificar el engaño es posicionar el puntero sobre el enlace y observar que no dirige al usuario al sitio oficial sino que el archivo se encuentra en otra página web. Esta es una manera práctica y sencilla para detectar si se trata de un engaño o no. Además siempre que se descarga un archivo desde una página web es recomendable analizarlo con una solución antivirus.

En lo que respecta a este troyano desarrollado en Visual Basic, lo primero que hace al infectar el sistema es contactarse con el panel de control para recibir órdenes y crear una entrada en el registro para ejecutarse en el próximo inicio del sistema. Ambas acciones son muy comunes entre los códigos maliciosos de este tipo ya que le permiten al cibercriminal controlar el equipo de manera remota. Analizando el tráfico de red se puede observar que envía información del equipo y además descarga un listado de direcciones IP para realizar un ataque de phishing:

Los cambios en el sistema y el listado de las direcciones URL pueden ser detectados a través de un análisis dinámico del malware en un entorno controlado. Utilizando ESET SysInspector y comparando el informe antes y después de ejecutar código malicioso podemos ver los cambios en el archivo host del sistema. El objetivo de este cambio es lograr que aquellos usuarios que cayeron víctimas del ataque sean dirigidos a un sitio falso, en dónde ingresen sus credenciales de la banca electrónica. Esta información puede cambiar de manera dinámica ya que el equipo forma parte de una red de computadoras zombis.

La botnet a la cual pertenece un equipo infectado con este código malicioso es Volk en su versión 4.0, igual que reporte de días atrás que se propagaba como un mensaje de Facebook. Pero en esta oportunidad, no se trata de un ataque a usuarios de Panamá, sino que quien realiza este ataque busca afectar a usuarios de Perú. Uno de los principales objetivos de estas botnet es el robo de información bancaria. Una vez más vemos un claro ejemplo de cómo los ciber criminales realizan sus ataques en la región y la importancia de contar con una solución antivirus con capacidad de detección proactiva para proteger la información de los usuarios. Agradecemos a Startlabs, Distribuidor Exclusivo de ESET Latinoamérica en Perú por la ayuda brindada para la realización de este análisis.

Pablo Ramos
Especialista en Awareness & Research