Los troyanos bancarios son un tipo de amenaza que lleva mucho tiempo entre nosotros y podríamos decir que también son una de las amenazas que más preocupan a los usuarios por el impacto directo que tiene sobre sus finanzas. Desde hace años venimos observando cómo las amenazas de este tipo desarrolladas en Latinoamérica han cobrado un especial protagonismo también en España, con campañas de las que es importante estar informado para evitar caer en la trampa de los ciberdelincuentes.
La factura engañosa
Como en tantas otras ocasiones anteriores, los delincuentes están utilizando una supuesta factura de Movistar para conseguir nuevas víctimas. Sin embargo, si el que recibe este correo reside en España observará ciertos detalles que podrían hacerle sospechar, como el lenguaje utilizado o los medios de pago disponibles para pagar esta factura.
Se trata de una campaña que parece dirigida a países de Latinoamérica pero que, aun así, se ha colado en varios buzones de correo de usuarios españoles, quienes, reconociendo la marca como una filial de Telefónica, puede que sigan las instrucciones y realicen el pago que les indican los delincuentes.
Además, no se trata del único correo con una temática relacionada con facturas que hemos detectado en las últimas horas, ya que se han observado emails supuestamente relacionados con el pago de impuestos dirigidos a usuarios de México, tal y como se puede observar en la siguiente imagen, y que también hemos visto propagarse por buzones de correo pertenecientes a usuarios españoles.
En ambos casos, se intenta convencer a la víctima de que pulse sobre un enlace incluido en el cuerpo del correo electrónico para descargar la supuesta factura. Cuando se pulsa sobre dicho enlace se redirige al usuario a una web que los delincuentes han preparado, donde se muestra una imagen indicando que se va a proceder a la descarga de una factura en formato PDF y XML.
Sin embargo, los usuarios que procedan a la descarga se encontrarán con que el fichero comprimido solo contiene un archivo HTA y una carpeta con un ejecutable en su interior responsable de la instalación del navegador Google Chrome. En este punto resulta importante destacar que los delincuentes han utilizado caracteres especiales para componer el nombre del fichero, un detalle curioso que no habíamos observado en campañas similares anteriormente.
Las soluciones de seguridad de ESET detectan este fichero HTA como el troyano VBS/TrojanDownloader.Agent.AADE.
Ejecución de la amenaza
En el caso de que el usuario muerda el anzuelo e intente ejecutar el fichero con el nombre de Factura, se iniciará la cadena de ejecución del malware. Si revisamos el código que se encuentra en el interior de ese fichero veremos que se distingue la ejecución de ciertos comandos, aunque los delincuentes han tratado de dificultar un poco su análisis añadiendo caracteres especiales como la “@”.
Si limpiamos el código observamos cómo se están concatenando comandos para conectarse a una dirección remota controlada por los delincuentes, descargar y ejecutar un fichero VBS. Vemos como los delincuentes definen variables con partes del enlace y luego los concatenan de forma invertida para que no sea tan obvio, pero no deja de ser una ofuscación bastante pobre.
Al ejecutar el archivo en un sistema Windows también observamos que se muestra una ventana solicitando una contraseña, algo que también viene definido en el código incluido en el fichero HTA. Esto solo sirve para distraer al usuario mientras el código malicioso continúa la ejecución, ya que la introducción de cualquier cadena de caracteres no influye para nada.
Al revisar el fichero VBS descargado, vemos cómo se vuelve a repetir el mismo proceso para descargar el fichero que los delincuentes hayan preparado en un directorio específico del servidor utilizado. En esta cadena de infección, la conexión se utiliza para descargar el payload que contiene el troyano bancario Mispadu, otro viejo conocido a ambos lados del Atlántico.
Como dato curioso, el servidor usado por los delincuentes para alojar tanto los diferentes componentes de la cadena de infección como el payload ya fue utilizado en otras campañas anteriores analizadas hace unos meses. Esto demuestra, una vez más, que los criminales no tienen problema alguno para reutilizar su infraestructura e, incluso en el caso de las familias de troyanos que nos ocupan, compartirla.
Conclusión
Campañas como estas demuestran que los delincuentes que desarrollan este tipo de troyanos bancarios siguen activos y lanzando sus campañas maliciosas periódicamente. Por ese motivo es importante estar informado acerca de las tácticas que utilizan para aprender a identificarlas antes de que sea demasiado tarde, y contar con soluciones de seguridad capaces de detectarlas y eliminarlas.