Una nueva ola del malware bancario “Spy Banker” ha estado atacando a las víctimas de habla portuguesa en Brasil.
Mientras que un “Spy Banker” es una vieja amenaza, que data de 2009 según algunas empresas de seguridad, los últimos atacantes están tomando es una nueva forma de espiar.
La campaña, ha descubierto por investigadores de Zscaler, que su mayor parte se extiende principalmente sobre la red social Facebook, y utiliza una ingeniería social convincente para engañar a los usuarios a hacer clic en URLs Bit.ly sobre la promesa de cupones, vales o descargas de software de primera calidad. Un número de las víctimas también se ve comprometida por descargas no autorizadas.
Las direcciones URL apuntan a un servidor alojado en la plataforma en la nube de Google, donde se encuentra el programa de descarga “Spy Banker” y se descarga en la máquina de la víctima. La descarga entonces agarra el espía troyano bancario Telax, cuyo objetivo es robar las credenciales de banca online.
EL Investigador de seguridad de Kaspersky Lab Fabio Assolini dijo que el uso de la ingeniería social y Facebook en particular es eficaz, ya que juega en la confianza del usuario con mensajes provenientes de la plataforma de redes sociales.
«Actualmente los chicos malos brasileños tienen hambre de hosting gratuito y abusan de varios servicios para alojar sus archivos allí: Google Docs, Dropbox, SugarSync y muchos otros pero utilizar Facebook.com es algo nuevo», dijo Assolini.
El informe de Zscaler, publicado hoy, comparte un ejemplo en el enlace bit.ly apunta a un archivos PHP que se alojan en un servidor de Google Cloud. El archivo PHP luego hace una redirección 302 para descargar la primera etapa del ataque, el programa de descarga. El ejecutable, en este caso, se hace pasar por un enlace al servicio de declaración de impuestos federales en línea de Brasil, pero otros fingen ser cualquier cosa, desde software antivirus gratuito, WalMart o WhatsApp.
Zscaler dijo que en este enlace bit.ly en particular se habían hecho click más de 103.000 veces desde que salió a la superficie entre el 20 de octubre y 30 de noviembre, 102.000 de esos enlaces provenían de Facebook.
Zscaler también compartió cinco dominios que se enlazan con Telax, también alojados en servidores en nube de Google: aquinofinal.com; aquiredire.com; brasildareceita.com; mundodareceita.com; ofertasplusdescontos.com.
«Es importante tener en cuenta que Google ya ha limpiado los servidores de la nube siendo redirigidos actualmente por estos dos sitios activos y por lo tanto el ciclo de infección tendrá un error con un mensaje 404 Not Found», dijo Zscaler, añadiendo que, con mucho, la mayor parte de las víctimas han estado en Brasil, con algunos otros en los Estados Unidos y Portugal.
En cuanto a Telax, Zscaler dijo que es un ejecutable Delphi que roba datos bancarios. Se inyecta código malicioso en los procesos visuales legítimos Basic Compiler, que comprueba la presencia de las máquinas virtuales antes de ejecutar.
Zscaler descubrió una serie de características nativas del malware, como un comando bloque VM, comandos de infección, los comandos de actualización, la versión y seguidores de la actividad portuaria y más.
Una vez que se establece una conexión con servidores de comando y control, los atacantes pueden enviar a través de cualquier número de comandos que recuperan la información del sistema, sacar adelante el nuevo malware, además de paneles de autenticación de dos factores falsos que pueden ser utilizados para engañar a los usuarios a renunciar a las credenciales de segundo factor.
Fuente: Thread Post
