Nemucod ahora también distribuye troyanos bancarios en Brasil

En la mañana del pasado viernes 12 de agosto, las soluciones de seguridad proactivas de ESET detectaron un pico de una nueva variante de Spy.Banker, detectada como Spy.Banker.ADEA.

Es similar a las variantes anteriores de otros bankers usados en América del Sur. Durante la ejecución, el malware verifica si el sistema está configurado en idioma portugués y prosigue con la inyección del payload del banker.

Este último es distribuido junto con dos versiones modificadas de un popular software utilitario para el robo de información como nombres de usuario y contraseñas de navegadores (Chrome, Firefox, Internet Explorer y Opera), además de credenciales utilizadas por clientes de e-mail local, como Outlook.

Se propaga a través de correos electrónicos con adjuntos que contienen una variante de JS/Danger.ScriptAttachment, cuya finalidad es realizar la descarga de otros malware en el sistema y su ejecución.

troyanos-brasil

Pico de detecciones de JS/Danger.ScriptAttachment en Brasil, en la mañana del 12 de agosto (huso horario: CET).

JS/Danger.ScriptAttachment es una firma con la cual las soluciones de seguridad de ESET detectan algunas variantes del popular Trojan downloader Nemucod. Los downloaders de troyanos de la familia Nemucod son utilizados para distribuir diversos tipos de malware, incluyendo ransomware y ahora, en escala masiva en Brasil, bankers; son también utilizados en fraudes.

En particular, Nemucod estaba principalmente relacionado a la propagación de ransomware, aunque recientemente detectamos su uso en la instalación de un backdoor.

Entre las principales amenazas de julio en Brasil, los Trojan downloaders se destacaron en el primer lugar. En relación con el banker descargado por Nemucod, Spy.Banker.ADEA, Brasil se destaca como el principal objetivo:

detecciones banker brasil

Principales países afectados por el banker Spy.Banker.ADEA.

¿Cómo protegerse?

Como explicamos en artículos anteriores sobre este tema, estar seguro tiene mucho que ver con el bloqueo y la adecuada identificación de extensiones, por lo que correos electrónicos con adjuntos .EXE, *.BAT, *.CMD, *.SCR y *.JS deberían ser bloqueados. Para evitar los archivos con doble extensión oculta, se debería configurar el sistema para que las muestre completas. Y naturalmente, usar una solución de seguridad confiable.

Mantente atento a grandes eventos y fechas conmemorativas. Los cibercriminales se aprovechan frecuentemente de ellos para atraer víctimas, como vimos en el caso de las Olimpiadas que están teniendo lugar en Río de Janeiro.

Créditos imagen: ©cucchiaio/Flickr

Autor , ESET

Síguenos