En el día de hoy, hemos recibido en los Laboratorios de ESET Latinoamérica una nueva campaña de propagación de un código malicioso destinado a usuarios chilenos. Detectado por ESET NOD32 Antivirus como Win32/Spy.Bancos.ONL, este troyano llega en un correo electrónico que simula provenir de una conocida compañía de telefonía móvil en Chile. Siguiendo esta línea se ha observado un aumento en el uso de la temática de dispositivos móviles y empresas prestadoras de este servicio como técnica de Ingeniería Social para propagar amenazas informáticas. Casos como el de Dorkbot y el uso de una mejorada campaña de propagación y el Supuesto mensaje multimedia utilizado para la descarga de este gusano afirman lo anteriormente mencionado. A continuación se muestra una captura del correo que recibe la potencial víctima. Como puede observarse, los cibercriminales buscan engañar al destinatario haciéndole creer que resultó ganador de una tableta y que para poder canjearla, necesita completar un formulario. Para hacer más genuino el mensaje, se incluyen logos relacionados al programa de beneficios de dicha compañía de telefonía celular.

Correo falso que ofrece tableta

Si se accede al enlace malicioso, se procede a descargar el ejecutable formulario.exe. Cabe destacar que el icono de este fichero es el logo de la empresa que mal utilizan los cibercriminales como forma de generar aún mayor confianza en la posible víctima. Si la persona no es precavida y ejecuta este archivo, el troyano procede a contactar a un servidor web vulnerado del cual descarga config.php. Este último corresponde a un archivo hosts malicioso que redirige al usuario hacia sitios fraudulentos de phishing (pharming local). Una vez que la amenaza descarga este archivo, procede a copiarlo en la carpeta adecuada y lo renombra de tal modo de sobrescribir el fichero hosts genuino. En este caso, un total de cinco entidades bancarias chilenas son afectadas por este malware, sin embargo, cabe destacar que este código malicioso comprueba periódicamente si existe una versión más reciente de config.php, por lo tanto, es posible que los cibercriminales lo actualicen para ampliar la lista de bancos afectados. En la siguiente imagen aparece ESET SysInspector alertando sobre una modificación en el archivo hosts del sistema infectado:

ESET SysInspector y archivo hosts malicioso

Después de todo no resulta extraño que los cibercriminales utilicen la temática de teléfonos inteligentes y tabletas para propagar amenazas. En la actualidad estos son dispositivos ampliamente utilizados por las personas, por tal motivo, resulta provechoso para un atacante explotar la curiosidad e interés que genera este tema en la población. De acuerdo a información obtenida, formulario.exe ha sido descargado en al menos 1265 oportunidades.  Con el uso de esta temática los ciberdelincuentes también evitan seguir empleando otros tópicos más “clásicos” como las campañas de Dorkbot a través de postales de amor, tragedias que involucran a celebridades como el video del supuesto romance entre Shakira y Alexis Sánchez, entre otros. En base a esto, es importante que los usuarios estén conscientes de que los ciberdelincuentes recurrirán a cualquier tema que despierte interés con tal de generar rédito económico. Asimismo, es fundamental considerar algunos aspectos para detectar este tipo de fraudes. Por ejemplo, resulta sospechoso que una compañía que sortea un dispositivo requiera que el cliente complete un formulario con su información si todos estos datos ya los posee este ente, si no, ¿Cómo ganó? Finalmente es imprescindible instalar una solución de seguridad con capacidad de detección proactiva para protegerse de distintos códigos maliciosos. Además es fundamental concientizarse sobre la Seguridad de la Información. Todos los lectores quedan cordialmente invitados a participar en la Plataforma Educativa ESET, recurso completamente gratuito.

André Goujon
Especialista de Awareness & Research