Investigadores de Zscaler han estado monitoreando una nueva campaña con el virus Spy Banker que esta vez aprovechan las redes sociales, el servicio de acortamiento de URL Bit.ly y la plataforma en la nube de Google.
Spy Banker es un malware que ha existido desde 2009, permite a los ciberdelincuentes robar datos bancarios de los ordenadores infectados. La versión de la amenaza analizada por Zscaler, apodado Telax, principalmente se ha extendido a través de una URL acortada con Bit.ly publicada en Facebook y Twitter.
Los enlaces maliciosos apunta a un archivo PHP alojado en la plataforma de la nube de Google que redirige a las víctimas a una página que descarga Spy Banker. El descargador está diseñado para parecerse a los vales descuento o a aplicaciones populares.
Zscaler notó que los usuarios también son atraídos al archivo malicioso de la plataforma en la nube de Google desde varios sitios web alojados por GoDaddy. El gigante de hosting ha cerrado los dominios peligrosos y Google ha eliminado el archivo PHP de sus servidores.
Los atacantes han engañado a los usuarios para que hicieran clic en los enlaces maliciosos prometiéndoles vales y diversas aplicaciones, tales como productos de seguridad de WhatsApp y Avast. Esta táctica es aparentemente muy eficaz ya que las estadísticas dicen que se ha hecho clic en el enlace de Bit.ly malicioso más de 100.000 veces, sobre todo en Facebook.
Una gran mayoría de las víctimas (90%) son de Brasil, pero en el enlace malicioso también se ha hecho clic desde Estados Unidos, Portugal, Paraguay, Argentina, Italia, el Reino Unido, Alemania, Francia y España.
Una vez que infecta un sistema, descarga un downloader y ejecuta la carga final, Spy Banker Telax. La amenaza, desarrollado en Delphi, está diseñada para comprobar el sistema infectado con la presencia de entornos virtuales, después de lo cual se inicia el robo de información sensible.
Los expertos advirtieron de que el ejecutable Telax también contiene componentes de rootkit de 32 bits y de 64 bits que se agregan al registro dependiendo de qué tipo de sistema operativo se ejecute en la máquina infectada. Los investigadores descubrieron módulos Telax para la detección de productos de seguridad y la instalación de malware en el sistema. El troyano también parece incluir una característica diseñada para ayudar a la autenticación de dos factores atacantes bypass.
Fuente:https://www.metagnia.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
