Analistas de Kaspersky Lab en América Latina acaban de revelar el descubrimiento de una familia de códigos maliciosos desarrollados en Perú que está desplegando sus maniobras de ataque por toda la región. Denominado “Jumcar” por el equipo de analistas, el principal objetivo de estos códigos maliciosos se resume en el robo de información financiera de usuarios latinoamericanos que hacen uso de los servicios de home-banking de importantes entidades bancarias. De las víctimas, el 89% se canalizan en Perú a través de seis estrategias de Phishing basadas en la clonación fraudulenta de los sitios web bancarios. Algunas variantes de la familia Jumcar también incorporan en la logística de la estrategia dos entidades bancarias de Chile y una de Costa Rica.
La cultura ciber-delictiva se expande con mucha fuerza en América Latina. Ejemplo de ello son algunas de las redes de bots gestionadas a través de crimeware desarrollado en la región, que además cuentan con la posibilidad de generar malware personalizado. Tales son los casos de las botnets que analistas de Kaspersky Lab han descubierto a lo largo de los últimos dos años y alertado al respecto oportunamente como vOlk-Botnet, Chimba-Botnet, UELP, AlbaBotnet y PiceBOT.
Las campañas de propagación de ‘Jumcar’ son compatibles con las clásicas estrategias de Ingeniería Social visual que se basan en el envío de correos electrónicos fraudulentos, instancia en la cual se dispara hacia dos vetas de ataque:
Un mensaje supuestamente emitido por Facebook con el asunto “Mensaje de Facebook”, acompañado con imágenes del logo de la red social, que direccionan el tráfico hacia un archivo llamado “Mensaje_Facebook_Privado.php” (o similar), que posee las instrucciones necesarias para la descarga de una variante de Jumcar.
Un mensaje supuestamente emitido por una importante entidad bancaria de Perú que direcciona el tráfico del usuario hacia la clonación del sitio web de la entidad bancaria en cuestión. Esto es el clásico ataque de phishing.
“Todas las variantes de Jumcar son alojados en sitios web previamente vulnerados. Es decir, el atacante no registra nombres de dominio como parte de la estrategia de propagación. En ellos también se implantan los PhishingPack utilizados para robar la información de los usuarios desprevenidos, un archivo en texto plano que aloja la configuración para el archivo hosts de los equipos víctimas, el MassMailer a través del cual se masifica el envío de los correos engañosos y un backdoor que le permite al atacante acceder y alojar las nuevas variantes del malware”, añadió Mieres.
El impacto que Jumcar ha tenido en los últimos meses es alto y específico. Los mayores niveles de infección se encuentran focalizados con mayor éxito de penetración en Perú y Chile:
Las diferentes variantes de ‘Jumcar’ son detectadas por Kaspersky Lab como “Trojan.MSIL.Jumcar” y “Trojan.Win32.Jumcar”.