troyanoEl Laboratorio de Investigación de ESET Latinoamérica analizó un troyano bancario que afectó principalmente a usuarios de Brasil. Según los resultados de la investigación, el mismo se propagó a través de técnicas de Ingeniería Social para infectar la PC de los usuarios.

 

A su vez, la amenaza utilizó un sitio gubernamental brasileño para enviar información confidencial al atacante. La misma era robada a los usuarios a través de un plugin en Google Chrome™. Entre los datos que obtuvieron los cibercriminales, se encuentra el número de documento de personas de Brasil, la contraseña y el PIN o el número de 4 dígitos de validación de las tarjetas de débito y números de cuentas bancarias. Sin embargo, gracias a la investigación de ESET y la cooperación con las autoridades brasileñas en conjunto con Yahoo!, esta amenaza ya no está activa.

“En este caso, el código malicioso utilizó una falla de diseño de un sitio gubernamental brasileño para poder enviar la información que fue robada a sus usuarios. Se realizó de forma anónima y con el fin de disipar cualquier tipo de sospecha, dada la buena reputación del servidor”, dijo Sebastián Bortnik, Gerente de Educación y Servicios de ESET Latinoamérica. Esta amenaza es detectada por ESET como JS/Spy.banker.G.


El malware se propagaba a través de un archivo ejecutable usando técnicas de Ingeniería Social con el fin de afectar a la mayor cantidad posible de usuarios. Este ejecutable es un dropper, identificado como MSIL/Spy.Banker.AU, es decir un archivo que instala otros archivos en el sistema para que el malware pueda alcanzar su mayor capacidad de operación. El archivo analizado por el Laboratorio de Investigación de ESET Latinoamérica se desarrolló en .NET, el conocido framework de Microsoft. “El hecho de que utilice una extensión de Chrome para el robo de datos tiene un impacto directo en la víctima, ya que en este caso no es el sistema operativo el que está infectado, sino el propio navegador”, agregó Bortnik. La instalación de esta extensión del navegador es fundamental para que se produzca el robo de datos.

El análisis técnico completo de esta amenaza está disponible en el artículo “Análisis de un malware brasileño: ¿Qué tienen en común un troyano bancario, Google Chrome y un servidor de gobierno?” que se puede encontrar en http://www.eset-la.com/centro-amenazas/articulo/analisis-de-un-malware-brasil/3234y en http://blogs.eset-la.com/laboratorio/2013/08/01/que-tienen-comun-troyano-bancario-google-chrome-servidor-gobierno-brasileno/.