Nacionales

Alerta en Argentina por “virus bancario” que vacía cuentas

cargando anuncio

Una campaña de phishing, apuntando específicamente a la Argentina y Chile, está robando credenciales para ingresar a los homebankings de las víctimas. Cómo lo hacen y cómo podes protegerte.

Alerta en Argentina por “virus bancario” que vacía cuentas

BUENOS AIRES. Según la empresa de ciberseguridad ProofPoint, el grupo ruso de ciberdelincuentes llamado TA505, que ha desarrollado malware como son FlawedGrace, FlawedAmmy y ServHelper, se encuentra haciendo campañas de correos electrónicos de phishing dirigidos a la Argentina y a Chile.

¿Cuál es la modalidad de estos ataques dirigidos? Se propaga mediante el envío de mails fraudulentos con un archivo adjunto de Word, Excel, PowerPoint o PDF que tiene código malicioso internamente y al ejecutarse este infecta el equipo de la víctima sin que esta se entere.

De acuerdo con Infotechnology.com, la compañía Proofpoing ya había denunciado la existencia de una nueva variedad del malware, a la que llamo ServHelper, durante todo el año pasado. Se trata un programa escrito en Delphi (un IDE, entorno de desarrollo integrado) y la compañía lo definió como un “backdoor”; esto quiere decir que el programa intenta generar una puerta de entrada no intencional para ser usada por los atacantes.

Distintas variantes de virus informáticos

Se conocen dos variantes distintas: “Tunnel” y “Downloader”: la variante “Tunnel” tiene múltiples funciones y se enfoca en la configuración de túneles SSH inversos para permitir que el atacante acceda al host infectado a través del Protocolo de escritorio remoto (RDP). Una vez que ServHelper establece el acceso al escritorio remoto, permite al atacante secuestrar las cuentas de usuario legítimas o los perfiles de navegador web y usarlos como le parezca.

La variante de “Downloader” es capaz de descargar y ejecutar cualquier otro malware que se le proporcione: troyano bancario, steeler, cryptomining, ransomware, keylogger, etcétera. Así lo advirtió y explicó el investigador en ciberseguridad Germán Fernández a través de sus redes sociales.

El método de infección es un clásico phishing (‘pescando’). Los atacantes envían correos -vale aclarar que están perfectamente redactados en castellano y sin ningún error gramatical- invitan a la víctima a descargar un archivo infectado que aprovechando una utilidad llamada “macros” permite ejecutar de manera inmediata y sin intermediarios el archivo que los atacantes implantaron.

Recomendaciones de Seguridad

– Mantener actualizado Microsoft Office y todo el software de seguridad del equipo.

– No abra documentos adjuntos de remitentes desconocido.

– Aprenda a identificar correos fraudulentos.

– No deshabilite las funciones de seguridad en los documentos de Office.

– El correo Phishing puede venir de cualquier persona, incluso un email conocido, asi que desconfíe inmediatamente de correos con asuntos como: “AUTORIZACION”, “PAGO”, “CONFIRMACIÓN”, “BLOQUEO”, “FACTURA” y derivados. Compruebe su veracidad.

Comentarios