Nuevo troyano en México afecta las transacciones de SPEI
La empresa de seguridad informática, ESET, ha detectado una campaña que busca distribuir el malware bancario Casbaneiro que se ha estado usando en México y que ahora busca robar información de correos electrónicos. Se trata de una de las familias de malware bancario que registra mayor actividad en Latinoamérica en los últimos años.
Este troyano intenta recopilar direcciones de correo y según análisis previos, también cuenta con una funcionalidad para robar credenciales de acceso a mails. La distribución de malware se realiza a través de correos que se hacen pasar por comunicaciones legitimas de un reconocido banco internacional para intentar engañar a sus víctimas.
El mensaje hace referencia a una supuesta transferencia monetaria realizada mediante el Sistema de Pagos Electrónicos Interbancarios, mejor conocido como SPEI, un sistema de pago en línea utilizado en México. El correo falso incluye un archivo HTML adjunto como imagen llamado “Comprobante SPEI”, que únicamente contiene la etiqueta “meta” para direccionar al usuario hacia un sitio de descargas.
Los usuarios son dirigidos hacia un sitio que almacena los archivos, configurado con geolocalización por dirección IP para permitir únicamente conexiones desde México. En caso de intentar acceder desde una ubicación distinta, no se podrá observar el contenido del sitio.
En caso de que la víctima avance en el proceso para la descarga de los comprobantes es dirigida al sitio WeTransfer para que descargue el archivo llamado “Comprobantes.zip”. Por supuesto, este tipo de archivos contienen instrucciones almacenadas como texto sin formato y son utilizados en los sistemas Windows.
A partir de que el malware ha sido descargado en el PC del usuario, la carga maliciosa a partir de los archivos CMD obtiene información del sistema y verifica si existen productos antivirus instalados en el ordenador.
ESET recomienda tener un antimalware instalado en el ordenador, el mismo que debe estar actualizado y correctamente configurado. Además, también se recomienda no seguir ningún enlace que nos llegue por correo electrónico, sobre todo si tiene relación con alguna institución bancaria.