El malware Spy Banker infecta a través de Facebook, Twitter y Google

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Investigadores de Zscaler han estado monitoreando una nueva campaña con el virus Spy Banker que esta vez aprovechan las redes sociales, el servicio de acortamiento de URL Bit.ly y la plataforma en la nube de Google.

Spy Banker es un malware que ha existido desde 2009, permite a los ciberdelincuentes robar datos bancarios de los ordenadores infectados. La versión de la amenaza analizada por Zscaler, apodado Telax, principalmente se ha extendido a través de una URL acortada con Bit.ly publicada en Facebook y Twitter.

Los enlaces maliciosos apunta a un archivo PHP alojado en la plataforma de la nube de Google que redirige a las víctimas a una página que descarga Spy Banker. El descargador está diseñado para parecerse a los vales descuento o a aplicaciones populares.

Zscaler notó que los usuarios también son atraídos al archivo malicioso de la plataforma en la nube de Google desde varios sitios web alojados por GoDaddy. El gigante de hosting ha cerrado los dominios peligrosos y Google ha eliminado el archivo PHP de sus servidores.

Los atacantes han engañado a los usuarios para que hicieran clic en los enlaces maliciosos prometiéndoles vales y diversas aplicaciones, tales como productos de seguridad de WhatsApp y Avast. Esta táctica es aparentemente muy eficaz ya que las estadísticas dicen que se ha hecho clic en el enlace de Bit.ly malicioso más de 100.000 veces, sobre todo en Facebook.

Una gran mayoría de las víctimas (90%) son de Brasil, pero en el enlace malicioso también se ha hecho clic desde Estados Unidos, Portugal, Paraguay, Argentina, Italia, el Reino Unido, Alemania, Francia y España.

spy banker troyano

Una vez que infecta un sistema, descarga un downloader y ejecuta la carga final, Spy Banker Telax. La amenaza, desarrollado en Delphi, está diseñada para comprobar el sistema infectado con la presencia de entornos virtuales, después de lo cual se inicia el robo de información sensible.

Los expertos advirtieron de que el ejecutable Telax también contiene componentes de rootkit de 32 bits y de 64 bits que se agregan al registro dependiendo de qué tipo de sistema operativo se ejecute en la máquina infectada. Los investigadores descubrieron módulos Telax para la detección de productos de seguridad y la instalación de malware en el sistema. El troyano también parece incluir una característica diseñada para ayudar a la autenticación de dos factores atacantes bypass.

Fuente:http://www.metagnia.com/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone