“Que los troyanos bancarios brasileños han encontrado un filón entre los usuarios españoles ya no es ninguna novedad, puesto que llevamos meses viendo campañas de varias familias de este tipo de malware”, asegura Josep Albors, responsable de concienciación e investigación en ESET España. Se trata de ataques recurrentes y parece que ahora, por ser verano, también toca. En este caso se llama Mispadu, un malware que proviene de Brasil, pero que sin embargo estaría afectando especialmente a usuarios españoles.
El descubrimiento de esta campaña de propagación fue realizado recientemente por investigadores de ESET que encontraron un directorio abierto en una página que contenía un contador de visitas a una web y otros archivos interesantes. Entre estos archivos se encontraba un fichero de nombre “links.txt” que contenía un enlace a una URL y que descargaba un archivo ZIP comprimido. Dicha dirección llevaba a una sencilla web con contenido pornográfico donde se proporcionaba un enlace para descargar un fichero con supuestas fotografías y vídeos con este tipo de material.
Conviene apuntar el nombre del archivo descargado, porque recordarlo no va a ser fácil: “load2.msi”. También puede encontrarse como “videosXS_caserasXC_fotosXV_982NA2020.msi“. En el momento que este fuese ejecutado por el usuario, comenzaría la cadena de infección preparada por los delincuentes, una serie de scripts en VBS que culminaban con la activación de una variante del troyano bancario Mispadu.
El fichero ZIP alojado en la web también realizaba parte de la misma cadena de infección, por lo que es lógico pensar que se trata de un archivo usado en una campaña de propagación del troyano bancario citado. Tal archivo comprimido contiene a su vez un instalador MSI que incluye adobe en su nombre y un instalador del navegador Mozilla Firefox; la única particularidad de este último es venir configurado en portugués.
En concreto,este uso del idioma luso es uno de los aspectos curiosos de esta campaña apesar de dirigirse a usuarios de habla hispana en México y España. “No es laprimera vez que los investigadores detectan este tipo de campañas en portuguéscontra usuarios de estos países, ya que algunos delincuentes asumen que, altratarse de lenguas con bastantes palabras iguales o similares, sus víctimasmorderán el anzuelo igualmente”, concluye Albors.
Los atacantes que dirigen sus campañas a Europa han visto especial vulnerabilidad en el perfil español
ESET advierte deque esta campaña, aunque no ha tenido mucho éxito en México, sigue activa enEspaña, donde los delincuentes la siguen gestionando cambiando las fotografíasutilizadas como gancho y limpiando y actualizando algunos servidores usadospara gestionar los sistemas infectados y las credenciales robadas y almacenarnuevas muestras. Por ello, desde la compañía se recuerda que es importante quelos usuarios se protejan ante estas amenazas aprendiendo a reconocer los cebosque utilizan los delincuentes y utilizando soluciones de seguridad que seancapaces de detectar estos tipos de malware. No obstante, los investigadores deESET reconocen que la manera en la que, en este caso, se concatenan y ejecutanlos escripts es bastante compleja.
En lo que respectaal vector de ataque inicial no se ha podido determinar con certeza cual ha sidoel utilizado por los delincuentes, aunque los antecedentes hacen pensar encorreos spam que viene siendo lo habitual, así como técnicas de malversiting(como las de los falsos cupones descuento de McDonalds).
“Teniendo en cuenta que el escueto texto que podemos ver en la web con la imagen pornográfica pone ‘Descargar todas las fotos y vídeos’ vemos factibles dos opciones: un email que propone la descarga gratuita de ese material, con un enlace directo a esta web o bien, un correo con un adjunto que redirija a la web maliciosa”, intuye el responsable de concienciación de ESET.
Para él, muy probablemente los atacantes de Latinoamérica que dirigen sus campañas a Europa han visto especial vulnerabilidad en el perfil español, de ahí que al animarse a cruzar el charco les elijan como víctimas. Por desgracia, cada semana hay un estreno de malware sobre el que informar.