*

Online

Así funciona el "virus bancario" que te vacía la cuenta y ya llegó a la Argentina

Una campaña de phising, apuntando específicamente a la Argentina y Chile, está robando credenciales para ingresar a los homebankings de las víctimas- Cómo lo hacen y cómo podes protegerte.

20 de Noviembre 2019
Así funciona el "virus bancario" que te vacía la cuenta y ya llegó a la Argentina

Según la empresa de ciberseguridad ProofPoint, el grupo ruso de ciberdelincuentes llamado TA505, que ha desarrollado malware como son FlawedGrace, FlawedAmmy y ServHelper, se encuentra haciendo campañas de correos electrónicos de phising dirigidos a la Argentina y a Chile.

¿Cuál es la modalidad de estos ataques dirigidos? Se propaga mediante el envío de mails fraudulentos con un archivo adjunto de Word, Excel, PowerPoint o PDF que tiene código malicioso internamente y al ejecutarse este infecta el equipo de la víctima sin que esta se entere.

La compañía Proofpoing ya había denunciado la existencia de una nueva variedad del malware, a la que llamo ServHelper, durante todo el año pasado. Se trata un programa escrito en Delphi (un IDE, entorno de desarrollo integrado) y la compañía lo definió como un "backdoor"; esto quiere decir que el programa intenta generar una puerta de entrada no intencional para ser usada por los atacantes.

Se conocen dos variantes distintas: “Tunnel” y “Downloader”: la variante "Tunnel" tiene múltiples funciones y se enfoca en la configuración de túneles SSH inversos para permitir que el atacante acceda al host infectado a través del Protocolo de escritorio remoto (RDP). Una vez que ServHelper establece el acceso al escritorio remoto, permite al atacante secuestrar las cuentas de usuario legítimas o los perfiles de navegador web y usarlos como le parezca.

La variante de “Downloader” es capaz de descargar y ejecutar cualquier otro malware que se le proporcione: troyano bancario, steeler, cryptomining, ransomware, keylogger, etcétera. Así lo advirtió y explicó el investigador en ciberseguridad Germán Fernández a través de sus redes sociales.

El método de infección es un clásico phising. Los atacantes envían correos -vale aclarar que están perfectamente redactados en castellano y sin niguna error gramatical- invitan a la víctima a descargar un archivo infectaco que aprovechando una utilidad llamada "macros" permite ejecutar de manera inmediata y sin intermediarios el archivo que los atacantes implantaron.

Ejemplo de mail de Phising. Fuente:  https://medium.com/@1ZRR4H/ 

Recomendaciones de Seguridad

- Mantener actualizado Microsoft Office y todo el software de seguridad del equipo.

- No abra documentos adjuntos de remitentes desconocido.

- Aprenda a identificar correos fraudulentos.

- No deshabilite las funciones de seguridad en los documentos de Office.

- El correo Phishing puede venir de cualquier persona, incluso un email conocido, asi que desconfíe inmediatamente de correos con asuntos como: “AUTORIZACION”, “PAGO”, “CONFIRMACIÓN”, “BLOQUEO”, “FACTURA” y derivados. Compruebe su veracidad.



¿Te gustó la nota?

Notas Relacionadas

Shopping