ACTUALIZADO: Nueva campaña de SPAM afecta a (más) entidades de España y Alemania

Captura0900

 

En los últimos días hemos observado un incremento del SPAM recibido por los usuarios españoles. Esta campaña suplanta, en su mayor parte, a empresas y servicios populares en España. Los asuntos de los correos, como viene siendo habitual, utilizan ingeniería social para inducir al usuario a descargar y ejecutar el archivo adjunto. Estos son los asuntos de algunos de estos correos:

  • 3902931929751919 Incidencia en la entrega (Números aletorios)
  • Factura : 2604 (Envio automatico de documentos) (Envio Automatico Documentos)
  • FW: Confirmación res reserva, ID BOOKING 825562562
  • RE: Banca – Orden emision transferencia
  • [FACTURA: 00100000064]

 

png1

La captura de uno de ellos, que se muestra justo debajo, muestra un ejemplo de este uso de la ingeniería social: el emisor solicita al usuario que le envíe un duplicado de una factura de una cuantía considerable para que éste abra el .zip adjunto.

Buenos días,

Podrías pasarme un duplicado de la factura con importe 737,01 que nos habéis cargado en el banco el día 31/01/2017.

Gracias

Un saludo

 

Los nombres de los archivos adjuntos tienen tres características que pueden hacer que un usuario sin conocimientos técnicos lo pase por alto:

  • Estos adjuntos tienen en realidad la extensión .js, es decir, se trata de ficheros JavaScript. Los archivos se nombran de tal forma que pueden confundirse con archivos .pdf o .html, entre otros (como se muestra abajo).
  • Se han comprimido para evitar los filtros de SPAM del cliente de correo de los usuarios.
  • Se han utilizado nombres largos, ya que Windows no los muestra al completo a menos que el usuario lo haya especificado en el panel de control.

A continuación, se muestran los ficheros dentro del archivo comprimido:

  • billete.electronico-5777797790.zip
    • billete.electronico-8399093911.pdf.js
  • F-0118-0019_2016-2017.zip
    • Factura_0118_2016_12-2017_01.html.js,
    • Factura_0119_2016_12-2017_01.cvs.js.js
  • VTA_A03929041_B44123799_F_7794_2017030.zip
    • VTA_A50930091_B50910017_F_1801_2017030.pdf.js
  • Scan.zip
  • transferencia0399948993002.txt.js
  • Scan0002_30_2017_01.png.js

 

Un viejo conocido: el malware es una variante de Zeus

 

El malware distribuido es una variante del ya veterano Zeus, que surgió hace ya casi 10 años. Zeus fue pionero en muchos aspectos pero, sobre todo, es recordado por su uso de ataques Man-in-The-Browser e inyecciones web configurables que hoy en día son prácticamente un estándar en el malware bancario.

La variante distribuida es conocida por diversos nombres, entre ellos Zloader, DEloader y Terdot, y presenta un fichero de configuración protegido mediante RC4.

Afectación

ACTUALIZADO: Tras su descubrimiento, habíamos situado a La Caixa como única entidad afectada en España. Tras los últimos descubrimientos, podemos afirmar que otras tres empresas se encuentran afectadas y estas son BBVA, Bankia y Banco Santander. Todos los descendientes de Zeus presentan un fichero de configuración en el que los atacantes definen los sitios web en los que se recopila información (por lo general, contraseñas de acceso) y cómo recolectarla (captura de pantalla, grabación de vídeo, pulsaciones de teclado, inserción de campos al formulario de login…). Esta configuración es única por cada banda y campaña, lo que marca la diferencia entre los grupos amateur y los profesionales.

En este caso, la configuración está protegida con un cifrado rc4 y se centra en entidades bancarias españolas y alemanas.

pngpng

En esta captura se muestran las URLs de las últimas entidades afectadas por la variante de Zeus.

photo_2017-02-09_16-03-29

A continuación, mostramos la totalidad de entidades afectadas en ambos países:

  • Españolas: LaCaixa, BBVA Particulares, BBVA Autónomos, Bankia Empresas y Santander Particulares.
  • Alemanas: Commerzbank, Sparda, Comdirect, Deutsche-bank, Berliner-bank, Norisbank, Targobank.
ADVANCED CYBERSECURITY SERVICES TEAM DE S21SEC
Recommended Posts

Leave a Comment