El viernes de la semana pasada compartimos con ustedes información acerca de la propagación de diferentes troyanos bancarios, enviados a través de una cuenta de correo que aparentemente había sido comprometida. Como se había observado desde el mismo enlace se lograron obtener dos muestras de códigos maliciosos he aquí un poco más de información al respecto.

El uso de direcciones de correo ajenas para la propagación de malware no es una novedad, pero que se utilice exactamente el mismo enlace para la descarga de la amenaza es bastante peculiar. Es por ello que desde el Laboratorio de ESET Latinoamérica se ha desarrollado una pequeña herramienta que monitorea dicho enlace para descargar de forma automática las nuevas amenazas que el usuario malicioso aloja allí.

Desde la implementación de dicha herramienta hemos logrado obtener 4 muestras diferentes las cuáles son detectadas por ESET NOD32 Antivirus bajo diversas nomenclaturas.

  • MD5: c5e983979e19fdf17031b1f855af2ac4 ha sido detectado como Win32/Spy.Bancos.OAQ trojan
  • MD5: 7108bfed3a590db377a0dedf21c46676 ha sido detectado como Win32/VB.PML trojan
  • MD5: 812fa1c30f714d858ca34dd42d8f9aea ha sido detectado como Win32/VB.PMP trojan
  • MD5: 500d9a092064e3648766b65e3c92b939 ha sido detectado como Win32/VB.PMM trojan

Esto demuestra claramente cómo el desarrollador malicioso dedica una cantidad de tiempo considerable a la actualización del malware que desea propagar, buscando así evitar la detección del software antivirus. Por más que parezca extraño la gran disponibilidad de tiempo que poseen estos es un arma muy eficiente. Afortunadamente las casas antivirus cuentan con laboratorios de análisis que trabajan en todo el mundo para estar siempre al tanto de las diferentes amenazas y así proteger a los usuarios.

Existen también otras herramientas que le pueden ayudar a un atacante generar diferentes versiones de malware en un corto período de tiempo cómo lo son las herramientas para generación de malware automatizadas. Estos programas brindan la posibilidad de realizar pequeños cambios a un determinado código malicioso para evitar ser detectado. En estas ocasiones una solución antivirus con capacidad de detección proactiva es una de las principales barreras de defensa para el sistema del usuario.  También hay que recordar sobre esta amenaza que se esta propagando a través de correo electrónico, lo que nos lleva a remarcar la importancia que reconocer un correo falso tiene para el usuario. De esta manera, al no seguir el enlace, evita exponerse al riesgo.

Con esta información y las diferentes actualizaciones que hemos investigado en nuestro laboratorio a lo largo de la semana se han recopilado datos suficientes para hacer un análisis en detalle de cómo es que el atacante procede y de esta manera poder darle un final a esta constante publicación de códigos maliciosos que no buscan más que afectar al usuario.

Pablo Ramos
Especialista de Awareness & Research