Hace casi dos años, la Operación Aguasvivas de la Guardia Civil se saldó con la detención de 16 personas en distintos puntos de la geografía española; todas ellas, acusadas de cometer estafas online (se bloquearon transferencias por valor de 3,5 mill. de euros) haciendo uso de dos troyanos bancarios, Mekotio y Grandoreiro.
Ambos habían sido creados por cibercriminales brasileños, lo que les permitía «continuar con el desarrollo de malware y reclutar nuevos miembros en sus países de interés», según afirmaban desde Hispasec. Ahora, tal como recoge ESET España en su blog, Mekotio y Grandoreiro han vuelto a nuestro país como parte de una nueva oleada de e-mails fraudulentos, en los que los atacantes intentan colarnos su malware disfrazado como citaciones judiciales o comprobantes de pago.
La falsa citación judicial
Así, se han detectado e-mails remitidos desde una creíble (aunque falsa) dirección avisosjudicial[@]funcionpublica.com, titulados ‘COMUNICAR – Seguir Citacion para comparecer ante el tribunal‘, en cuyo cuerpo se afirma que dicho e-mail estaría vinculado al «cobro de una deuda judicial», en la que «el Banco Central envía una notificación a la institución financiera antes de la determinación del juez» y se nos enlaza a un determinado número de «proceso virtual» que, por supuesto, nos conduce a una dirección maliciosa desde donde se descarga el troyano Grandoreiro.
Una vez descargado el archivo, comprobamos que se trata de un fichero .zip (comprimido) que contiene un ejecutable (.exe); si el usuario comete el error de ejecutar el mismo, Grandoreiro se hará pasar por una ventana de Adobe Reader, en la que se nos pedirá que ingresemos un captcha tras el cual sólo se mostrará un aviso de «Por favor espere, preparando su archivo PDF».
Cómo mostrar y cambiar la extensión de un archivo en Windows
En realidad, tal PDF nunca se mostrará: nos quedaremos esperando a que eso ocurra mientras el troyano recopila nuestra información confidencial (credenciales de cuentas, información de tarjetas de crédito, etc.) y mientras se instala en la memoria del equipo para ejercer funciones de ‘keylogger’ (captura de tecladk).
El falso comprobante de pago
Así mismo, ESET revela la existencia de otra campaña paralela, ésta protagonizada por el troyano Mekotio; similar a la anterior, cambia la citación judicial por un supuesto comprobante de pago «correspondiente a mi última compra con su empresa», según el ciberdelincuente que nos lo remite desde un correo ‘@uetaind.com.br’. Así mismo, asegura que podremos bajarlo desde un enlace cuyo texto reza ‘comprobante7891.pdf‘, pero que al acceder al mismo descarga otro archivo comprimido .zip, con un archivo de instalación (.msi) en el interior. Sus objetivos son exactamente los mismos que los del troyano anterior: robo de información confidencial.
Aclaraciones y Consejos
- Muchos países cuentan con un ‘Banco Central’, pero no España (su equivalente es el Banco de España). Una referencia al mismo en un supuesto e-mail judicial debe hacer saltar todas las alarmas.
- El sistema judicial español no entrega citaciones vía e-mail.
- Es importante que nos fijemos en qué extensión tiene el archivo que nos bajamos de un enlace. Si esperamos un .PDF y se descarga un .ZIP, deberíamos sospechar; si lo que se descarga son ejecutables como un .MSI o un .EXE, puedes tener la total seguridad de que alguien va a por tu PC.
- Utiliza gestores de contraseñas que las almacenen encriptadas, de tal forma que los troyanos no sean capaces de robarlas.
- Mantén siempre actualizado tu software antimalware.
Imagen | Elaboración propia usando Bing Image Creator
En Genbeta | ¿Qué es un troyano, cómo funciona y cómo podemos protegernos?
–
La noticia
Tus contraseñas y datos bancarios corren peligro: una oleada de emails fraudulentos revela el retorno de dos peligrosos troyanos
fue publicada originalmente en
Genbeta
por
Marcos Merino
.