Analistas internacionales de virus encontraron una nueva campaña activa para propagar un viejo malware bancario a través de un método de vulneración de sistemas conocido como BOM. Es la primera vez que esta técnica se utiliza en la región y está dirigida especialmente a usuarios de Brasil y Chile.
El método de ataque consiste en esquivar la seguridad de los gestores de correo electrónico y lograr que un mail malicioso llegué a la bandeja de entrada de la víctima. Esta técnica, descubierta en 2013, consiste en añadir el prefijo BOM con el fin de evitar que se detecten algunos tipos de archivo. A través de esta vulnerabilidad, los atacantes envían correos electrónicos con archivos maliciosos -que no son detectados por los gestores de mail como Google Gmail- que infectan las máquinas de quienes abren los archivos.
Es por eso que para funcionar, la campaña depende casi enteramente de ataques estilo «spear-phishing» para aumentar el número de víctimas. El desafío es engañar a los analizadores de correo electrónico y usar un archivo aparentemente correcto, pero infectado, para llegar a la bandeja de entrada de la víctima. El archivo llega en la forma de un .zip; el típico formato de compresión de archivos.
El archivo infectado llega en formato de archivo .zip con un nombre que imita a un archivo de texto PDF:
Al intentar abrirlo, ocurrirá un error. Según analizaron los expertos de la firma de ciberseguridad Kaspersky Lab, el encabezado ZIP contiene tres bytes adicionales (0xEFBBBF), que representan el BOM, antes de la firma «PK» (0x504B), que corresponde a los archivos ZIP. El BOM usualmente se encuentra en archivos de texto con codificación UTF-8. Algunas herramientas no reconocen este archivo como un ZIP verdadero y no podrán abrirlo.
Desafortunadamente, algunas utilidades muy populares como WinRAR y 7-Zip simplemente ignoran el prefijo y extraen su contenido correctamente. Una vez que el usuario extrae el archivo con cualquiera de estas utilidades, éste se ejecuta e infecta el sistema. Al descargar y ejecutar el programa, los usuarios en realidad están haciendo correr en sus máquinas un gestor de descargas del archivo malicioso.
Finalmente, lo que se termina por descargar es una variente de un malware bancario conocido como RAT. Se trata un programa malicioso especialmente peligroso, ya que permite que el atacante obtenga total control de la cuenta bancaria de la víctima. Cuando se descarga este software, queda «escondido» en la máquina infectada a la espera de que la víctima ingrese a un sitio de homebanking. En ese momento, envía una señal a un C&C (una máquina que tiene comando y control del malware).
Desde la terminal de control, el atacante toma posesión de la cuenta bancaria del usuario mientras que el malware, inteligentemente, muestra una falsa pantalla de actualización de la página del banco. Por lo que el damnificado no puede ver que le están robando su cuenta; incluso si sucede frente a sus narices.
La mejor defensa contra este tipo de estafas es desconfiar y estar atento a cualquier actividad inusual que suceda en el ciberespacio. Las buenas practicas incluyen no abrir archivos innecesarios o de remitentes desconocidos, confirmar que la información que pide la entidad bancaria es un proceso legítimo (llamando al banco o confirmando por terceras vías) y mantener al día las actualizaciones de seguridad.
Fuente: Infotechnology