XENOMORPH, NUEVO TROYANO BANCARIO PARA ANDROID EN DESARROLLO CON VARIOS BANCOS ESPAÑOLES ENTRE SUS OBJETIVOS

Los troyanos bancarios dirigidos a dispositivos Android han experimentado un fuerte crecimiento desde el inicio de la pandemia. Solo tenemos que echar un poco la vista atrás y comprobar que a principios de 2021, los usuarios españoles eran el objetivo principal de una importante campaña de propagación de este tipo de amenazas camufladas como supuestas aplicaciones de empresas de logística. Ahora, un nuevo malware que tiene como objetivo a los usuarios de 56 entidades bancarias europeas, ha sido descubierto y, a pesar de que todo apunta a que aún se encuentra en desarrollo, podría suponer una importante amenaza a corto plazo.

Introducción a Xenomorph

Ha sido la empresa de seguridad Threat Fabric la que ha dado la voz de alarma al descubrir recientemente esta nueva familia de troyanos bancarios que, tras las primeras investigaciones, tendría relación con otra familia de malware conocida como Alien. Según su inteligencia de amenazas, este nuevo troyano bancario habría conseguido distribuirse a través de la tienda oficial de aplicaciones de Google, consiguiendo más de 50.000 instalaciones.

A pesar de que Google ha mejorado mucho la seguridad de su tienda de aplicaciones durante los últimos años, todavía hay algunos delincuentes que consiguen evadir estas medidas de seguridad. Como ejemplo, los investigadores mencionan una aplicación conocida como “Fast Cleaner” que fue descargada por decenas de miles de usuarios.

Fuente – Threat Fabric

En lo que respecta a las capacidades del malware Xenomorph, comprobamos como estas son muy similares a las de otros troyanos bancarios desarrollados para Android observados en los últimos meses. No obstante, la lista de características que son funcionales actualmente son las mínimas necesarias para poder robar credenciales e interceptar los mensajes SMS usados como doble factor de autenticación.

Los investigadores han resaltado el hecho de que hay muchos comandos incluidos en el código que aún no han sido implementado, lo que podría indicar que nos encontramos ante un malware en una fase inicial de su desarrollo. A pesar de ello, este malware es perfectamente capaz de cumplir su objetivo usando la superposición de pantallas para robar credenciales y, en el caso de que el usuario le conceda los permisos de Accesibilidad durante la instalación, también podrá ejecutarse de forma sigilosa en el dispositivo infectado.

Fuente – Threat Fabric

En lo que respecta al ataque de superposición de pantallas, no se observan novedades destacables con respecto a las muestras analizadas en los últimos años. El malware permanecerá corriendo en segundo plano hasta que el usuario inicie alguna de las aplicaciones que tiene como objetivo (apps de entidades bancarias, criptomonedas, Paypal o Gmail, entre otros) . En ese momento, se mostrará una pantalla superpuesta sobre la original solicitando las credenciales de acceso a la entidad bancaria suplantada.

Una vez los delincuentes se han hecho con las credenciales, los delincuentes pueden acceder a la cuenta de la víctima y proceder a realizar transferencias bancarias a otras cuentas controladas normalmente por muleros que hacen de intermediarios y reenvían el dinero robado a otras cuentas controladas por los delincuentes.

Fuente – Threat Fabric

En ese aspecto, no hay novedades con respecto a los troyanos bancarios que estamos acostumbrados a analizar. Sin embargo, los investigadores han querido hacer hincapié en que, a pesar de algunas similitudes importantes con otro conocido troyano bancario como es Alien, Xenomorph sería una familia de malware completamente nueva y que aún se encuentra en desarrollo.

Podemos ver en funcionamiento este malware gracias al vídeo preparado por el investigador de ESET especializado en el análisis de malware Lukas Stefanko:https://www.youtube.com/embed/7-yT65lVBf8?feature=oembed

España como principal objetivo

Tal y como se ha podido observar en anteriores campañas protagonizadas por troyanos bancarios dirigidos a usuarios bancarios, España es uno de los objetivos principales de los delincuentes detrás de esta amenaza. En esta ocasión, y basándonos en las aplicaciones bancarias que los delincuentes tienen como objetivo, nuestro país destaca sobre el resto de objetivos.

Fuente – Threat Fabric

Esté interés en atacar a usuarios españoles no es nuevo, y ya vimos que campañas como las protagonizadas por el malware Flubot y sus derivados incluso se centraron inicialmente en objetivos españoles antes de propagarse por otros países. En lo que respecta a la situación actual, vemos como en la segunda mitad de 2021 la detección de amenazas en España relacionadas con malware bancario en Android disminuyó con respecto a la primera mitad, pero hemos de tener en cuenta que la primera mitad de 2021 fue especialmente intensa en lo que respecta a este tipo de amenazas.

Actualmente estamos viendo como todas las semanas se producen campañas de propagación de este tipo de malware, normalmente usando un mensaje SMS como gancho, por lo que la situación actual sigue siendo peligrosa para aquellos usuarios que no adopten medidas de seguridad en sus dispositivos Android.

Conclusión

La incorporación de Xenomorph al catálogo de troyanos bancarios dirigidos a Android demuestra el interés que tienen los delincuentes en esta plataforma y sus usuarios. Por ese motivo es importante contar con una solución de seguridad en nuestro dispositivo móvil que sea capaz de detectar este tipo de amenazas aunque se hayan descargado desde una tienda oficial.

Enlace a la noticia: https://blogs.protegerse.com/2022/02/22/xenomorph-nuevo-troyano-bancario-para-android-en-desarrollo-con-varios-bancos-espanoles-entre-sus-objetivos/

NUEVA CAMPAÑA DEL TROYANO BANCARIO GRANDOREIRO SUPLANTA A LA DGT Y A VODAFONE

A pesar de que la actividad de los troyanos bancarios con origen en Latinoamérica ha descendido con respecto a meses anteriores, aún seguimos observando campañas que tratan de conseguir nuevas víctimas entre usuarios españoles repitiendo las técnicas que tan buenos resultados les han dado desde principios de 2020 hasta ahora.

Reciclando plantillas de correo

Los grupos de delincuentes detrás de estas amenazas han usado principalmente el correo electrónico como vector de ataque inicial, algo que vuelve a repetirse en la campaña detectada en las últimas horas y que utiliza dos plantillas diferentes como gancho para tratar de convencer a los usuarios que reciban estos emails para que pulsen sobre los enlaces proporcionados.

Por un lado, tenemos la plantilla que simula ser una multa de la DGT, que fue una de las primeras en observarse en las campañas a principios de 2020 y que siguió siendo utilizada como gancho por los delincuentes durante un tiempo. En este correo se nos indica que tenemos una multa de tráfico pendiente de pago y se nos proporciona un enlace para acceder supuestamente a su pago.

La otra plantilla de correo observada durante las últimas horas es la de la supuesta factura de Vodafone, otra de las preferidas de los delincuentes y que fue bastante usada durante 2020 y principios de 2021. En este caso se nos muestra un importe elevado correspondiente a una factura telefónica y se nos proporcionan dos enlaces desde los cuales descargar la supuesta factura.

Como vemos, pocas novedades en lo que respecta al uso de un cebo lo suficientemente atractivo para atraer la curiosidad de los usuarios que reciban este tipo de correos y pulsen sobre los enlaces que se encargan de iniciar toda la cadena de ataque.

Descarga y detección de la amenaza

Tal y como estamos acostumbrados a ver en estos casos, el enlace proporcionado nada tiene que ver con lo que finalmente se descarga. De hecho, al pulsar sobre el enlace que aparece en el email se nos redirecciona a alguna URL controlada por los atacantes. En ocasiones anteriores hemos visto como estos delincuentes acostumbraban a utilizar servicios de alojamiento de ficheros en la nube como MediaFire o OneDrive, pero en esta ocasión han optado por comprometer la web de una empresa para redireccionar a la descarga del archivo.

En la captura de pantalla anterior podemos ver como la redirección se realiza hacia Yandex, un servicio de correo electrónico muy popular en Rusia, y más concretamente a la parte que se encarga de alojar los ficheros adjuntos al correo. Esto representa un cambio con respecto a campañas anteriores, aunque la finalidad sigue siendo la de tratar de evadir los filtros de correo iniciales, usando para ello un servicio que no tenga mala reputación.

Cuando descargamos el fichero comprimido en nuestro sistema podemos observar como al abrirlo nos encontramos el familiar archivo MSI que suele ser utilizado en campañas protagonizadas por estas familias de troyanos bancarios.

Este fichero actúa como descargador, conectándose a una URL controlada por los delincuentes y descargando el payload correspondiente al troyano. En esta ocasión, el malware descargado corresponde al troyano Grandoreiro, una de las familias que más ha afectado a usuarios españoles desde el inicio de estas campañas.

Las soluciones de seguridad de ESET detectan al fichero MSI que se descarga inicialmente como una variante del troyano Win32/TrojanDownloader.Banload.YST.

Conclusión

Si bien el número de campañas recientes protagonizadas por estas familias de troyanos no ha sido tan numeroso como en meses anteriores, esto no significa que los delincuentes se hayan cansado de tener a usuarios españoles entre sus objetivos. Las muestras analizadas en las últimas horas son una buena prueba de ello, y un recordatorio de que debemos permanecer alerta ante este tipo de correos usados como gancho y protegernos con soluciones de seguridad que sean capaces de identificarlas y bloquearlas.

Enlace a la noticia: https://blogs.protegerse.com/2022/01/13/nueva-campana-del-troyano-bancario-grandoreiro-suplanta-a-la-dgt-y-a-vodafone/

Phishing a Correos que dirige a un chatbot

Recursos afectados: 

Cualquier empleado, autónomo o empresa que reciba un correo como el descrito a continuación suplantando a la Sociedad Estatal de Correos y Telégrafos S.A.Descripción: 

En las últimas horas se ha detectado una campaña de envío de correos electrónicos fraudulentos que tratan de suplantar a Correos mediante el uso de emails de phishing.

En la campaña identificada, el email tiene como asunto alguno de los siguientes, aunque podría cambiar:

  • «#Tu-paquete-ha_llegado!#»,
  • «Tu-paquete-ha_llegado!!!»,
  • «, Tu-paquete-ha_llegado!»,
  • «…..Tu-paquete-ha_llegado!».

En el cuerpo del mensaje se informa al usuario de que «No se han pagado los gastos de transporte de 4, 95 €.» y tiene que organizar la nueva entrega a través de un chatbot para poder recibir el paquete.Solución: 

Como en cualquier otro caso de phishing, extrema las precauciones y avisa a tus empleados para que estén alerta de los emails que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o, como en este caso, enlaces externos.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

El email detectado suplantando a Correos es como el siguiente:

Email fraudulento suplantando a Correos

Si pulsas sobre el botón «COMENZAR CHAT», te mostrará un asistente virtual que  suplanta a Correos.

Tras un saludo, se presenta y solicita confirmación del número de seguimiento.

Chatbot suplantando a Correos

Si pulsas «Sí, es correcto», envía un mensaje de confirmación.

Chatbot suplantando a Correos

Y, a continuación, incluyendo una foto del paquete, comunica que la etiqueta está dañada, como excusa para solicitar más datos.

Chatbot suplantando a Correos

Tanto si pulsas en «Dirección comercial» como en «Dirección privada» el chatbot indica que necesitan más datos y solicita un pago por las gestiones.

Chatbot suplantando a Correos

En caso de pulsar sobre el botón «Programar entrega y pagar», los ciberdelincuentes solicitarán datos personales, como se muestra a continuación.

Web suplantando a Correos

Y, finalmente, los datos de la tarjeta de crédito.

Web suplantando a Correos

Una vez introducidos los datos de la tarjeta de crédito, estos quedarán a disposición de los cibercriminales.

El chatbot podría llevar a otro tipo de páginas e incluso suscribirte a servicios premium.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

¿Cómo proteger a tu empresa de malware?

¡Reconócelos y protege a tu empresa de…!

  1. Rasomware 👉🏼 Es la variante de Malware más dañino y peligroso, ya que secuestran tus datos a cambio de dinero.
  2. Spyware 👉🏼 Es un tipo de Malware espía que se instala sin saberlo el usuario y recopila los datos del equipo.
  3. Troyano 👉🏼 Este Malware se hace pasar por archivos y Apps.
    4 Gusano informático 👉🏼 Este tipo de virus no necesita ser ejecutado por el usuario y tiene la habilidad de replicarse.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

No usar USB perdidos, contienen virus

¿Sabes que cuando introduces en tu pc un USB desconocido tienes riegos a coger virus?

Hoy desde OnNet Security te contamos cuales son los virus más comunes en los pendrives y dispositivos externos‼️

👉🏼 Virus autoejecutable o Autorun.inf, Virus.Win32. o Autorun.re
👉🏼 Troyanos o Trojan.Vb.Ayo, Trojan.Win32.Vb.Ayo o Trojan/Dropper.re.
👉🏼 Virus de acceso directo
👉🏼 Archivos indetectables

Si te gustan nuestros ciber consejos síguenos en nuestras redes sociales 💙

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Reconoce el malware para proteger a tu empresa de futuros ataques

¡Reconócelos y protege a tu empresa de…

!Rasomware 👉🏼 Es la variante de Malware más dañino y peligroso, ya que secuestran tus datos a cambio de dinero.

Los manuales técnicos del ransomware Conti, filtrados por un miembro de la  banda - Una al Día

Spyware 👉🏼 Es un tipo de Malware espía que se instala sin saberlo el usuario y recopila los datos del equipo.

Qué es spyware y cómo puede afectar tu computadora? | Avantel

Troyano 👉🏼 Este Malware se hace pasar por archivos y Apps

Eliminación del caballo de Troya: Protegiendo Troya

Gusano informático 👉🏼 Este tipo de virus no necesita ser ejecutado por el usuario y tiene la habilidad de replicarse.

Gusano informático: Definición y ejemplos 🛡 Incuatro ⚔

Lokibot: características de este malware que roba todo tipo de credenciales

Un breve repaso por las principales características de Lokibot, un popular troyano utilizado por distintos grupos criminales y que es desde hace tiempo una de las familias de malware más activas.

Lokibot, también conocido como Loki PWS o Loki-bot, es un malware perteneciente a la familia de troyanos que está activo desde 2015 y es utilizado desde entonces en campañas a nivel global. Fue diseñado con el objetivo de robar credenciales de navegadores, clientes FTP/ SSH, sistemas de mensajería, y hasta incluso de billeteras de criptomonedas.

Originalmente fue desarrollado en lenguaje C y promocionado en foros clandestinos y mercados en la dark web. Las primeras versiones apuntaban simplemente al robo de billeteras de criptomonedas y contraseñas de aplicaciones utilizadas por la víctima, así como las almacenadas en Windows. Se puede definir a Lokibot también como un Malware-as-a-Service (MaaS); es decir, un malware que se ofrece como servicio para que terceros lo puedan utilizar. Por esta razón es que sigue representando una herramienta atractiva para los cibercriminales, ya que permite a los ciberdelincuentes desarrollar sus propias versiones de Lokibot.

Es importante mencionar que existen variantes de Lokibot dirigidas al sistema operativo Android que funcionan como troyano bancario. Por ejemplo, en 2017 se encontró una variante que al detectar que era eliminada activaba un módulo para el cifrado de archivos en el dispositivo móvil infectado. Sin embargo, en el presente post pondremos el foco solamente en la versión desarrollada para el sistema operativo Windows.

Durante Julio de 2020, CISA notifico que había una importante alza la actividad de Lokibot por parte de cibercriminales, incluidos varios países de América Latina.

Principales métodos de distribución de Lokibot

Los actores de amenazas generalmente utilizan Lokibot para apuntar a dispositivos con el sistema operativo Windows. Principalmente se propaga principalmente por medio de campañas de phishing que incluyen archivos adjuntos maliciosos o URL embebidas. Estos adjuntos pueden ser archivos Word, Excel o PDF, u otro tipo de extensiones, como .gz o .zip que simulan ser archivos PDF o .txt.

A lo largo de los años, estas campañas fueron variando la temática que utilizaban como señuelo para enviar sus archivos adjuntos, desde una factura, una cotización o la confirmación de un supuesto pedido.

Desde julio del 2020, poco después de decretada la pandemia, hubo un aumento considerable en la actividad de este malware y los atacantes comenzaron a enviar archivos adjuntos maliciosos con algún tema referido al COVID-19 para intentar atraer a los usuarios desprevenidos y convencerlos para que abran un archivo adjunto en sus correos:

¿Qué características tiene Lokibot?

Como se mencionó al inicio de este atículo, Lokibot es un malware con características de troyano que roba información confidencial de los equipos comprometidos, como nombres de usuario, contraseñas, billeteras de criptomonedas y otro tipo de información.  También se ha visto la distribución del payload de Lokibot para Windows mediante la explotación de viejas vulnerabilidades , como la CVE-2017-11882 en Microsoft Office.

Entre las principales características de este malware se destaca su capacidad de eliminar archivos, desactivar procesos del sistema, y el bloqueo de soluciones de seguridad instaladas en el dispositivo de la víctima.

Lokibot es implementado a través de una botnet conformada por equipos comprometidos que se conectan a servidores de C&C (Command and Control) para enviar los datos recopilados de la víctima. Una vez que el malware accede a la información sensible de la víctima exfiltra la información, comúnmente a través del protocolo HTTP.

Por otra parte, una vez que logra infectar el dispositivo víctima crea un backdoor que permite a los cibercriminales descargar e instalar otras piezas de malware. En el año 2020 se descubrió una campaña que luego del compromiso inicial descargaba como segundo payload el ransomware Jigsaw.

La siguiente ilustra la cadena de infección más utilizada por Lokibot:

En cuanto al funcionamiento general de Lokibot, vale la pena destacar que es un malware no tan complejo, dado a que una vez que obtiene acceso a la máquina de la víctima ejecuta el payload y comienza a recopilar las credenciales de usuario de las diferentes aplicaciones. Luego envía esa información al servidor de C&C controlado por el atacante.

Para ganar persistencia en el equipo comprometido y continuar exfiltrando información, en primera instancia, y en el caso de que la víctima tenga privilegios de administrador, Lokibot modifica la clave de registro agregando una nueva entrada que será almacenada en HKEY_LOCAL_MACHINE. De lo contrario, se almacena hace dentro de HKEY_CURRENT_USER.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://www.welivesecurity.com/la-es/2021/09/30/lokibot-principales-caracteristicas-malware-roba-credenciales/

EL TROYANO BANCARIO FLUBOT REGRESA CON UNA FALSA ALERTA DE SEGURIDAD COMO GANCHO

Los troyanos bancarios siguen siendo una de las amenazas dirigidas a usuarios más prevalentes en nuestro país. Entre estas amenazas encontramos a FluBot, troyano que se ha hecho un nombre debido a las continuas campañas que viene realizando desde hace meses centradas en usuarios de móviles Android, y que ahora utiliza una nueva plantilla para llamar la atención de sus víctimas.

Alerta de seguridad

Desde que descubrimos las primeras versiones del troyano bancario FluBot dirigidas a usuarios españoles de Android a finales de 2020 hasta el momento de escribir estas líneas, esta amenaza ha utilizado varias plantillas para tratar de engañar a los usuarios. Primero se hizo pasar por empresas de paquetería y logística como CorreosFedexDHL o MRW (entre otras) para, seguidamente, avisar de un supuesto mensaje de voz pendiente de escucha.

Ahora, los delincuentes detrás de estas campañas han empezado a probar una nueva estrategia que, paradójicamente, utiliza el miedo a ser infectado por este malware como cebo para conseguir nuevas víctimas. Recientemente, el CERT de Nueva Zelanda alertaba de una nueva web de descarga de este malware que tenía el siguiente aspecto.

Falsa pantalla de alerta mostrada para engañar a los usuarios – Fuente: NZ CERT

A esta web se llega tras pulsar sobre el enlace contenido en un sms y resulta curiosos ver cómo los responsables de propagar FluBot están usando su nombre para generar esta falsa alerta y convencer a quien lo lea de que necesita instalar una actualización de seguridad. De momento no se han detectado casos en España usando esta plantilla pero, tal y como hemos comprobado en ocasiones anteriores, puede que sea solo cuestión de tiempo.

Robo de dinero desde cuentas bancarias

Debemos recordar que solo por recibir el sms o incluso pulsar el enlace no se infecta el dispositivo Android. Sin embargo, si seguimos las instrucciones e instalamos la supuesta actualización de seguridad, nuestro dispositivo habrá sido comprometido y los delincuentes tratarán de robarnos el dinero que tengamos guardado en nuestra cuenta bancaria.

Además, el funcionamiento de FluBot y de sus múltiples imitadores no ha cambiado demasiado, ya que siguen confiando en que el usuario instalará la aplicación maliciosa con permisos de Accesibilidad, lo que permite al malware, entre otras cosas, obtener permisos adicionales para interceptar los SMS de verificación enviados por algunas entidades bancarias, acceso a los contactos para seguir propagándose o la superposición de pantallas fraudulentas sobre la app bancaria legítima para robar las credenciales de acceso a la banca online.

Por si fuera poco, este tipo de malware también es capaz de robar información relacionada con criptomonedas, cuentas de correo o redes sociales, por lo que la pérdida de dinero no es el único peligro al que se enfrentan sus víctimas.

Conclusión

Flubot y otros códigos maliciosos similares siguen evolucionando para tratar de seguir consiguiendo nueva víctimas, y por ese motivo debemos permanecer alerta para reconocer estos engaños, contando siempre que sea posible con una solución de seguridad que permita reconocer y eliminar estas amenazas antes de que causen daños.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://blogs.protegerse.com/2021/10/04/el-troyano-bancario-flubot-regresa-con-una-falsa-alerta-de-seguridad-como-gancho/

Numando: nuevo troyano que busca datos bancarios y que afecta principalmente a Brasil

Características

Al igual que los demás troyanos bancarios latinoamericanos descritos en esta serie, Numando está escrito en Delphi y utiliza falsas ventanas superpuestas para sustraer información confidencial de sus víctimas. Algunas variantes de Numando almacenan estas imágenes en un archivo ZIP cifrado dentro de sus secciones .rsrc, mientras que otras utilizan una DLL en Delphi aparte solo para este almacenamiento.

Las capacidades de backdoor de Numando le permiten simular acciones del mouse y del teclado, reiniciar y apagar la máquina, mostrar ventanas superpuestas, tomar capturas de pantalla y eliminar los procesos del navegador. Sin embargo, a diferencia de otros troyanos bancarios latinoamericanos, los comandos se definen como números en lugar de strings (consulte la Figura 1), lo que inspiró la forma en que decidimos nombrar a esta familia de malware.

Distribución y ejecución

Numando se distribuye casi exclusivamente a través de malspam. De acuerdo con nuestra telemetría, sus campañas afectan como máximo a algunos cientos de víctimas, lo que las hace considerablemente menos exitosas que las campañas de los troyanos bancarios latinoamericanos más prevalentes, como Mekotio y Grandoreiro. Las campañas recientes simplemente agregan en cada correo de spam un archivo adjunto ZIP que contiene un instalador MSI. Este instalador contiene un archivo CAB con una aplicación legítima, un injector y una DLL cifrada del troyano bancario Numando. 

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

enlace a la noticia: https://www.welivesecurity.com/la-es/2021/09/17/numando-nuevo-troyano-busca-datos-bancarios-afecta-brasil/

COMPROBANTE FISCAL: NUEVA CAMPAÑA DEL TROYANO BANCARIO MEKOTIO DIRIGIDA A USUARIOS ESPAÑOLES

A mediados del pasado mes de julio nos enterábamos del arresto por parte de la Guardia Civil de 16 personas relacionadas con las actividades delictivas de los troyanos bancarios Grandoreiro y Mekotio. Era una buena noticia, especialmente para los que llevamos más de año y medio siguiendo y analizando la actividad de estas familias de malware en España, pero ya imaginábamos que las personas detenidas tan solo se dedicaban a recibir el dinero robado de las cuentas bancarias y reenviarlo a los delincuentes, y que estos no tardarían en volver a fijar nuestro país como objetivo.

Correo con un comprobante fiscal

Así pues, tras unas semanas en las que estos troyanos han estado operando de forma limitada en otros países, parece que los delincuentes se han decidido a volver a dirigir sus campañas maliciosas a usuarios españoles. En las últimas horas se han estado enviando correos con el asunto “Comprobante Fiscal – Pendiente financiera” desde una dirección de email que trata de suplantar a un organismo oficial como el Ministerio de Hacienda.

La plantilla utilizada es bastante sencilla y sigue un estilo parecido al ya observado en otras campañas anteriores protagonizadas por los troyanos bancarios Mekotio y Grandoreiro. Observamos como se menciona un supuesto comprobante fiscal supuestamente remitido por un ministerio español, aunque en el correo se menciona al Servicio de Administración Tributaria de México y además se incluye un número de teléfono correspondiente a ese país.

Esto nos hace pensar que han reutilizado una plantilla que previamente han usado en ese país de Latinoamérica para realizar esta campaña dirigida a usuarios españoles, algo que tampoco resulta extraño cuando hablamos de este tipo de criminales. La finalidad de este correo es que la víctima pulse sobre el enlace que se proporciona y se descargue un archivo desde una web controlada por los atacantes.

El archivo que se descarga parece un fichero comprimido a simple vista, aunque si intentamos descomprimirlo de la forma habitual en un sistema diferente a Windows se nos mostrará un error. En cambio, al ejecutarlo en un sistema Windows realiza una conexión a la web donde se aloja el programa Winrar para descargar el instalador en el sistema.

Una vez instalada esta aplicación, podemos observar el contenido del archivo, comprobando cómo, una vez más, los delincuentes se han decantado por un archivo MSI para ejecutar la parte inicial de esta cadena de infección.

Una cadena de infección que nos resulta familiar

En el caso de que el usuario ejecute el archivo MSI, veremos como se realizan unas peticiones GET para descargar el archivo responsable de la segunda fase de esta cadena de infección. Observamos que estas conexiones se realizan hacia una dirección IP para descargar el archivo yvs7ge.zip que los delincuentes han preparado.

Dentro de este archivo encontramos otros tres ficheros que nos resultarán familiares, al seguir el mismo patrón que en anteriores ocasiones. Tenemos el instalador del lenguaje de programación AutoHotkey, que sigue siendo usado por los delincuentes para compilar y ejecutar el payload, junto a un fichero de configuración.

Por otro lado encontramos el payload del troyano bancario Mekotio en formato DLL con un tamaño de 8.5 Megabytes, por lo que vemos que los delincuentes asociados a estas campañas siguen sin preocuparse del tamaño de los archivos usados.

Lo que también venimos observando desde hace algunos meses es la mejora en las capacidades de ofuscación de estas amenazas, lo que dificulta su análisis. Actualmente seguimos pudiendo analizar estas amenazas siguiendo procedimientos más o menos estándar y usando las herramientas habituales, pero los delincuentes han incorporado mecanismos para detectar, por ejemplo, cuándo se están ejecutando en un entorno virtualizado o una sandbox.

Conclusión

Los delincuentes no cesan en su empeño a la hora de tratar de robar dinero de las cuentas bancarias de sus víctimas y todo apunta a que familias de malware como Grandoreiro y Mekotio van a seguir afectando a usuarios españoles y de otros países durante un tiempo más. Por ese motivo es fundamental protegerse con soluciones de seguridad que sean capaces de detectar y eliminar este tipo de amenazas y así tener nuestros ahorros a salvo.

Enlace a la noticia: https://blogs.protegerse.com/2021/08/25/comprobante-fiscal-nueva-campana-del-troyano-bancario-mekotio-dirigida-a-usuarios-espanoles/