Ante cualquier tema de relevancia, los atacantes usan técnicas de Ingeniería Social para comenzar sus campañas de ciberdelitos, con objetivos de infecciones o robo de información de usuarios. En esta oportunidad, en un agitado clima político en Brasil en época de elecciones presidenciales, está circulando un correo electrónico con la falsa noticia de que la presidente Dilma Rousseff estuvo implicada en el accidente aéreo de Eduardo Campos, ex candidato socialista que falleció en agosto.
El mensaje simula ser del portal de noticias brasileño G1, y cuenta con una imagen insertada que envía al usuario a un enlace malicioso.
A continuación se muestra una captura para ver el formato del email:
Básicamente, el texto afirma la "exclusiva" de que Dilma Rousseff está acusada del accidente aéreo, ya que la caja negra del avión revela el involucramiento del PT (Partido de los Trabajadores, al cual representa la mandataria) en la muerte de Eduardo Campos. Bajo la foto, el correo dice que los peritos concluyen que se trató de sabotaje a la aeronave, y hay un enlace al supuesto reportaje completo.
Como se muestra en la imagen, dentro del recuadro de color rojo, con solo posicionarse con el cursor del mouse sobre la imagen, se muestra el enlace al sitio donde se encuentra el archivo para descargar. Dicho enlace envía al usuario a una dirección que descarga un archivo ZIP automáticamente con solo ingresar.
Haremos un rápido análisis de situación:
- Cuando abrimos el archivo que se descarga de Internet, vemos la ventana del comprimido (marcado con el número 1) como se muestra en el fondo, dentro de la cual se encuentra la falsa noticia.
- Si descomprimimos el archivo o lo “arrastramos” al escritorio (número 2), automáticamente adopta el ícono del navegador Google Chrome, tal como si fuera un archivo HTML (para abrir directamente en el navegador). Así simula ser la noticia en cuestión.
- Cuando hacemos clic con el botón derecho sobre este archivo y vamos a sus propiedades (número 3), ya que por defecto en Windows 7 las extensiones de archivos no se muestran, mientras que en versiones anteriores de Windows si se mostraban las extensiones, nos encontramos con otra noticia más: no del portal G1, sino que se trata de una aplicación. Lo podemos ver en la ventana propiedades, donde vemos que es una aplicación EXE.
Esta aplicación es un código malicioso conocido como Trojan Downloader, lo que significa que al momento de ejecutarse, descargará otro código malicioso de tipo troyano bancario, el cual como su nombre indica, es destinado al robo de información bancaria.
Esto no es un detalle menor, si tenemos en cuenta que en Brasil muchos usuarios de Internet hacen uso de servicios como home banking a diario para sus transacciones.
Un caso particular, en el contexto general
Analizando la información del último mes y según los datos de Virus Radar, el sistema de telemetría de ESET, nos encontramos con que actualmente, los códigos maliciosos Win32/TrojanDownloader.Banload siguen presentes y en lugar número 1 de los más detectados en Brasil –además de que en el último mes estuvieron en el TOP 10:
Es importante destacar que al momento de acceder al sitio con el archivo comprimido, las soluciones de seguridad de ESET los detectarán proactivamente bajo la firma Win32/TrojanDownloader.Banload.SJG bloqueando su descarga del mismo.
A continuación mostramos el ejemplo de la detección al momento de acceder al enlace:
Por eso desde el Laboratorio de Investigación de ESET Latinoamérica, recomendamos no abrir correos de remitentes desconocidos, o aquellos que parezcan sospechosos, y mucho menos los archivos y/o enlaces que contengan dentro.
