Envían conversaciones falsas de WhatsApp al correo electrónico para distribuir troyanos bancarios

Es uno de los servicios más utilizados por los usuarios. De ahí que aparezca en el listado de reclamos más utilizados para estafar a los usuarios. En esta ocasión, un grupo de expertos en seguridad han detectado una oleada de correos electrónicos spam que informan al usuario sobre un archivo adjunto que contiene una conversación de WhatsApp. Sin embargo, esto no es así. Es decir, se trata de un script que permite la descarga del instalador de troyanos bancarios.

Hemos comprobado que, en campañas spam anteriores, los ciberdelincuentes recurrían a scripts VB e incluso JS para realizar la descarga del instalador de la amenaza. Sin embargo, en este ataque los ciberdelincuentes han cambiado estos scripts por ficheros de documentación CHM. Pero estos no poseen esta finalidad. Modificados al antojo de los ciberdelincuentes, son capaces de ejecutar comandos en la Powershell de los sistemas Windows para realizar la descarga del instalador de la amenaza. En esta ocasión, hablamos de troyanos bancarios.

Este tipo de amenazas informáticas son de sobra conocidas por la inmensa mayoría de usuarios. La principal finalidad no es otra que adquirir persistencia en el equipo, analizar la navegación web del usuario y asegurarse que toda la información introducida en páginas web de entidades bancarias es recopilada.

Keyloggers, configuración de DNS o un servidor proxy, cualquier opción es buena. Pero la que más se está utilizando es la de mostrar páginas web falsas ayudados de un servidor proxy o modificar el código legítimo de una para introducir otro formulario, cuyos datos de enviarán a un servidor propiedad de los ciberdelincuentes, donde serán almacenados y tratados.

WhatsApp como cebo para llamar la atención de los usuarios

whatsapp mensaje falso para distribuir malware en Windows

Skype, Facebook, Twitter y ahora WhatsApp. Aunque no es la primera vez que este servicio presta su imagen al servicio de los ciberdelincuentes. En esta ocasión, los usuarios observarán un correo electrónico en portugués, haciendo mención a una conversación adjunta perteneciente a este servicio de mensajería. El usuario descargará un archivo que tendrá como nombre Whats_email@example.com.chm. Tal y como hemos indicado anteriormente, se trata de un archivo de documentación. Pero los ciberdelincuentes han llevado a cabo su modificación para que sea capaz de ejecutar comandos en la Powershell del dispositivo y realizar la descarga e instalación de un troyano bancario.

Los expertos en seguridad han indicado que se tratan de amenazas antiguas, algo que debería ayudar a su detección y eliminación. O al menos en los casos en los que el equipo posea una herramienta de seguridad instalada.

No es una técnica nueva

Si las amenazas utilizadas no lo son, podemos decir que la técnica tampoco es una novedad, pero sí es cierto que hasta el momento ha sido poco vista. Se detectó por primera vez un ataque de estas características hace más de 12 años, y desde entonces no ha sido una vía para descargar malware demasiado utilizada, con muy poca visibilidad a pesar de la cantidad de ataques existentes desde entonces.

Si no sabemos de qué se trata, lo mejor es ignorarlo

Los expertos en materia de seguridad apelan a ignorar este tipo de mensajes y no hacer caso de su contenido. Indica que es necesario centrarse sobre todo en el origen y el formato del archivo. Si detectamos que algo no concuerda, lo mejor es proceder al borrado del contenido.

Fuente > Bleeping Computer

 

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies