La campaña maliciosa emplea una web preparada por los ciberdelincuentes que simula pertenecer a Amazon y que se promociona a través de anuncios mostrados en Facebook. En la web falsa se pueden ver súper ofertas accesibles simplemente pulsando «Generar cupón». Si el usuario cae en la trampa será redirigido a un enlace externo desde donde […]
La campaña maliciosa emplea una web preparada por los ciberdelincuentes que simula pertenecer a Amazon y que se promociona a través de anuncios mostrados en Facebook. En la web falsa se pueden ver súper ofertas accesibles simplemente pulsando «Generar cupón».
Si el usuario cae en la trampa será redirigido a un enlace externo desde donde se descargará un archivo comprimido de nombre “Cupón-02190.zip”. Este archivo contiene en su interior dos ejecutables. Un “Cup¢n-92190.msi” correspondiente al código malicioso encargado de iniciar la cadena de infección en el sistema de la víctima, mientras que el otro archivo se trata del instalador renombrado de Mozilla Firefox en portugués, similar al descubierto en la campaña que usaba contenido pornográfico como gancho el pasado mes de junio.
Esta cadena de infección se caracteriza por la ejecución de varios scripts de Visual Basic en varias fases, algunos de ellos ejecutados dentro de un mismo proceso. «Este proceso de infección hace que, con las soluciones de seguridad adecuadas, sea posible detectar varios de los procesos que componen el malware conforme se van ejecutando», explican desde ESET.
El resumen es que el usuario terminará infectado con Mispadu, un tipo de troyano bancario cuya finalidad es robar las credenciales de acceso a los servicios de banca on-line de varias entidades que operan en los países donde se está reproduciendo la campaña: España, México y Portugal.
Con Mispadu ya son varios los troyanos con origen en Latinoamérica que han dado el salto a otros países fuera de su región como es el Caso de España. El análisis de otras familias de malware similar como Casbaneiro, Grandoreiro o Mekotio demuestran que los delincuentes hace meses que añadieron a usuarios españoles y de otras nacionalidades entre sus principales objetivos.
Colectivamente llamados “Tetrade” por los investigadores de Kaspersky, las familias de malware, que comprenden Guildma, Javali, Melcoz y Grandoreiro, han desarrollado capacidades para funcionar como una puerta trasera y adoptar una variedad de técnicas de ofuscación para ocultar sus actividades maliciosas del software de seguridad.