En la noche de ayer las casillas de nuestro Laboratorio se vieron invadidas de correos con supuestas postales en idioma portugués y seguramente provenientes de Brasil.

El correo hace mención al ya acostumbrado cuento de la tarjeta que espera nuestra visita en un sitio web para ser visualizada:

Postal falsa

Al ingresar al sitio web, se menciona que nuestra versión de Flash Player debe ser actualizada para ver la supuesta postal:

Aviso de actualización

Cualquier botón que se presione vuelve a insistir en la descarga de la actualización:

Aviso de actualización

Por supuesto esto se trata del típico engaño en donde se termina descargando un troyano downloader que ESET NOD32 detecta como TrojanDownloader.Banload.NXX.

Lo curioso de este caso es que este downloader descarga otros troyanos bancarios desde cuatro diferentes sitios web y los copia como:

  • X:windowssystemIEXPLORERS.cmd (donde X es la unidad del sistema)
  • X:windowseguis.cmd
  • X:windowssystembrcc.cmd
  • X:windowssystemlibmysql41.dll
  • X:windowssystemIEXPLORERS.EXE
  • X:windowssystemIEXPLORERS.cmd

Al realizar el análisis de los troyanos descargados nos encontramos que ESET NOD32 los detecta como Delf.NKP y Delf.NKQ siendo casi uno de los pocos antivirus que detecta las tres amenazas.

Como siempre es fundamental no creer todo lo que se ve y lee en cualquier correo electrónico y mucho menos si ellos ofrecen descargar otros archivos. En este caso una supuesta actualización de Flash Player puede ser la entrada de tres tipos de troyanos diferentes.

Cristian