Si en el post anterior de nuestro blog mostrábamos un ejemplo de propagación clásica de malware con un archivo malicioso adjunto a un correo, en esta ocasión mostramos un malware que utiliza un vector de propagación más elaborado. El correo que hemos recibido en el laboratorio está orientado a ciudadanos de Brasil, por el dominio del correo y el uso del idioma portugués.
Veamos que nos cuentan en este correo (pulse sobre la imagen para ampliarla):
A simple vista parece que se trata de un comprobante de pago enviado desde una sucursal de la empresa Yamaha en Brasil. Bueno, es posible que alguno de los destinatarios de este correo posea alguno de los productos de esta empresa, pero lo más probable es que se haya suplantado este dominio, usando la técnica de spoofing, sin ningún motivo en particular.
Como hemos comprobado en la imagen, en el correo aparece un enlace, que, al analizar toda su ruta, vemos como nos dirige una dirección IP donde muestra una imagen solicitando la descarga Adobe Flash Player en portugués.
Si pulsamos sobre el botón de instalación, descargaremos en nuestro sistema un archivo de nombre install_flash_player.exe. Este archivo, que puede parecer el instalador real de la aplicación de Adobe, oculta en realidad una variante más del troyano bancario que las soluciones de seguridad de ESET detectan como Win32/TrojanDownloader.Banload.PRO.
La técnica descrita en este post viene usandose desde hace tiempo y se renueva cambiando el asunto periódicamente. No obstante, si la técnica persiste es porque aun consigue que se vean afectados el suficiente número de usuarios como para considerarla rentable. Desde el laboratorio de ESET en Ontinet.com recomendamos revisar detenidamente todos los enlaces que nos envíen para comprobar que nos dirigen a donde realmente debemos ir. Este tipo de engaños se usa también en casos de phishing y fraudes similares por lo que estar atentos nos puede evitar más de un disgusto.
Josep Albors