El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky Lab ha detectado una nueva tendencia en varias campañas maliciosas de origen brasileño que difunden componentes “banloader” utilizados para instalar troyanos bancarios en las máquinas de sus víctimas. El banloader está en formato JAR (Archivo Java), lo que significa que el troyano bancario tiene el potencial de ejecutarse en diferentes plataformas, como Linux, OS X, Windows y, en algunos casos, en dispositivos móviles.
Los ataques se distribuyen por medio de la ingeniería social, utilizando como gancho diversos asuntos, como impuestos a la propiedad, licencias o multas de tráfico. Los mensajes contienen enlaces maliciosos que bajan el archivo JAR o incluyen el malware dentro de un archivo adjunto, como ZIP o RAR, por ejemplo.
Debido a que los cibercriminales brasileños están entre los más astutos en crear mensajes falsos utilizando la ingeniería social, la probabilidad de que los destinatarios hagan clic en el enlace malicioso es alta. Lo que sucede después dependerá del grupo criminal que lanzó el ataque.
“Hemos identificado diferentes grupos de ciberdelincuentes brasileños que utilizan este componente JAR para instalar el malware bancario“, dijo Dmitry Bestuzhev, Director del Equipo Global de Investigación y Análisis en América Latina. “Algunos grupos seguirán la ruta más fácil, que es abusar de la configuración del PAC de los navegadores de la víctima y redirigirla a páginas falsas cuando tratan de visitar sitios bancarios. Otros irán por algo más grande: instalar en el sistema troyanos bancarios con mayor capacidad de espionaje. De cualquier manera, una vez que la víctima haga clic en el enlace malicioso, el malware bajará programas que le roban su dinero“.
Los expertos de Kaspersky Lab han detectado que la mayoría de las víctimas se encuentran en Brasil, Portugal, España, Estados Unidos, Argentina y México. Otras técnicas de infección similares también se han detectado en Alemania y China.
Bestuzhev señala que, hasta la fecha, los expertos de Kaspersky Lab sólo han descubierto muestras de malware dejadas por banloaders JAR que funcionan en Windows. Sin embargo, es evidente que el primer paso hacia la posibilidad de infectar diferentes plataformas ha sido dado. “Sólo es cuestión de tiempo para que detectemos un troyano bancario compatible con otros sistemas. No hay ninguna razón para creer que los cibercriminales limitarán sus ataques a Windows”, concluyó Bestuzhev.
Según las características del banloader, los productos de Kaspersky Lab lo detectan y bloquean en los tres grupos siguientes: Trojan-Banker.Java.Agent, Trojan-Downloader.Java.Banload y Trojan-Downloader.Java.Agent.
Más información en Securelist.