Es uno de los servicios más utilizados por los usuarios. De ahí que aparezca en el listado de reclamos más utilizados para estafar a los usuarios. En esta ocasión, un grupo de expertos en seguridad han detectado una oleada de correos electrónicos spam que informan al usuario sobre un archivo adjunto que contiene una conversación de WhatsApp. Sin embargo, esto no es así. Es decir, se trata de un script que permite la descarga del instalador de troyanos bancarios.
Hemos comprobado que, en campañas spam anteriores, los ciberdelincuentes recurrían a scripts VB e incluso JS para realizar la descarga del instalador de la amenaza. Sin embargo, en este ataque los ciberdelincuentes han cambiado estos scripts por ficheros de documentación CHM. Pero estos no poseen esta finalidad. Modificados al antojo de los ciberdelincuentes, son capaces de ejecutar comandos en la Powershell de los sistemas Windows para realizar la descarga del instalador de la amenaza. En esta ocasión, hablamos de troyanos bancarios.
Este tipo de amenazas informáticas son de sobra conocidas por la inmensa mayoría de usuarios. La principal finalidad no es otra que adquirir persistencia en el equipo, analizar la navegación web del usuario y asegurarse que toda la información introducida en páginas web de entidades bancarias es recopilada.
Keyloggers, configuración de DNS o un servidor proxy, cualquier opción es buena. Pero la que más se está utilizando es la de mostrar páginas web falsas ayudados de un servidor proxy o modificar el código legítimo de una para introducir otro formulario, cuyos datos de enviarán a un servidor propiedad de los ciberdelincuentes, donde serán almacenados y tratados.
WhatsApp como cebo para llamar la atención de los usuarios
Skype, Facebook, Twitter y ahora WhatsApp. Aunque no es la primera vez que este servicio presta su imagen al servicio de los ciberdelincuentes. En esta ocasión, los usuarios observarán un correo electrónico en portugués, haciendo mención a una conversación adjunta perteneciente a este servicio de mensajería. El usuario descargará un archivo que tendrá como nombre Whats_email@example.com.chm. Tal y como hemos indicado anteriormente, se trata de un archivo de documentación. Pero los ciberdelincuentes han llevado a cabo su modificación para que sea capaz de ejecutar comandos en la Powershell del dispositivo y realizar la descarga e instalación de un troyano bancario.
Los expertos en seguridad han indicado que se tratan de amenazas antiguas, algo que debería ayudar a su detección y eliminación. O al menos en los casos en los que el equipo posea una herramienta de seguridad instalada.
No es una técnica nueva
Si las amenazas utilizadas no lo son, podemos decir que la técnica tampoco es una novedad, pero sí es cierto que hasta el momento ha sido poco vista. Se detectó por primera vez un ataque de estas características hace más de 12 años, y desde entonces no ha sido una vía para descargar malware demasiado utilizada, con muy poca visibilidad a pesar de la cantidad de ataques existentes desde entonces.
Si no sabemos de qué se trata, lo mejor es ignorarlo
Los expertos en materia de seguridad apelan a ignorar este tipo de mensajes y no hacer caso de su contenido. Indica que es necesario centrarse sobre todo en el origen y el formato del archivo. Si detectamos que algo no concuerda, lo mejor es proceder al borrado del contenido.
Fuente:https://www.redeszone.net/2017/10/06/envian-conversaciones-falsas-whatsapp-al-correo-electronico-distribuir-troyanos-bancarios/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad