Tecnología

Detectan virus que se hace pasar por la plataforma bancaria SPEI en México

El virus es un ransomware que roba el acceso a las credenciales de los correos electrónicos

Lamentablemente el 2021 está comenzando de manera muy peligrosa en cuanto a cuestiones de ciberseguridad en México, pues acaba de encontrarse un nuevo malware que se hace pasar por instituciones financieras para robar tu información.

La compañía de ciberseguridad ESET avisó de la actividad de un virus troyano, llamado Casbaneiro, que engaña a las víctimas a través de correos electrónicos haciéndose pasar por el Sistema de Pagos Electrónicos Interbancarios (SPEI) con una supuesta notificación de una transferencia recibida (vía Milenio).

De acuerdo con ESET este malware está dirigido a usuarios de México y se trata de una de las familias de malware que más registros han tenido en Latinoamérica en los últimos años.

¿Cómo funciona este troyano?

La forma de ejecutarse de este virus es a través de correos que se hacen pasar por entidades bancarias reales. Primero, e envía un mensaje referenciando una transferencia bancaria mediante SPEI. En dicho mensaje se incluye un archivo HTML titulado “COMPROBANTE_SPEI-161220.HTML” y en este documento es donde se aloja el hipervínculo hacia troyano.

Si se da clic al fichero se redirigirá al usuario a un sitio donde se almacenan su información, los cuales son geolocalizados por la dirección IP para permitir sólo conexiones provenientes de México. La página intentará suplantar la imagen de una plataforma de facturación electrónica con el propósito de engañar al destinatario.

Si la víctima ha caído en la trampa e ingresa sus datos en la web falsa se le trasladará al sitio WeTransfer para la descarga de un archivo llamado “comprobante.zip”. En la etapa de descarga el contenido del comprimido varía de forma dinámica, puede cambiar su nombre y tamaño. Una vez descomprimido se muestran dos archivos CMD, los cuales son utilizados para descargar y ejecutar código malicioso.

“En este punto el malware ha sido descargado en el sistema del usuario. La carga maliciosa a partir de los archivos CMD obtiene información del sistema y verifica si existen productos antivirus instalados en la máquina comprometida. Además, el malware tiene la función de descargar un segundo payload que, entre otras acciones, está diseñado para robar credenciales de acceso de Outlook y enviarlos al atacante”, inidcó ESET.

La compañía indicó que estos troyanos bancarios usan largas cadenas de distribución compuestas por múltiples etapas, con las que se ganan la confianza de la víctima y una vez realizada la descarga del archivo necesario se logra robar la información disponible en el dispositivo del usuario.

Quizá te interese: Tips: cinco consejos para mejorar tu ciberseguridad

Recomendaciones para evitar estos ataques

ESET recomienda hacer caso omiso de aquellos mensajes que “suenen demasiado buenos para ser verdaderos”, además de contar con una solución antimalware instalada en el dispositivo y tener actualizadas la detección de estos códigos maliciosos por las soluciones.

Los cibercriminales suelen utilizar técnicas de Ingeniería Social para intentar engañar a los usuarios, por lo cual es necesario saber sobre las amenazas que están rondando en la web para mantenerlos preparados y que no caigan en las trampas.

¿Has sido víctima de alguno de estos virus?

Deja tu comentario

Nuevo

  • Nuevo

  • Trending

Subir
Advertising