• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

Nuevo malware bancario está infectando equipos mediante archivos ZIP en Chile y Brasil

La técnica consiste en burlar la detección del ataque añadiendo el prefijo BOM a estos archivos. Un malware que está acechando.
Kaspersky Lab acaba de identificar una campaña de malware bancario que utiliza el método BOM (Byte Order Mark) para burlar los escáners de correo electrónico e infectar a las víctimas. Es la primera vez que esta técnica se utiliza en la región y está dirigida especialmente a usuarios de Brasil y Chile.

Primero utilizada por criminales rusos para distribuir malware en sistemas Windows, esta técnica fue descubierta en 2013 y consiste en añadir el prefijo BOM con el fin de evitar que se detecten algunos tipos de archivo. La campaña depende casi enteramente de ataques estilo spear-phishing para aumentar el número de víctimas. El desafío es engañar a los analizadores de correo electrónico y usar un archivo aparentemente correcto, pero infectado, para llegar a la bandeja de entrada de la víctima.

¿Malware nuevo?
El primer indicador aparece cuando el usuario intenta abrir el archivo ZIP con el explorador predeterminado de archivos y obtiene el siguiente error:

Malware
Al intentar abrir el archivo comprimido utilizando el visor predeterminado del Explorador de Windows, el usuario verá un mensaje de error que indica que está dañado. Al analizarlo, los expertos de Kaspersky Lab percibieron que el encabezado ZIP contiene tres bytes adicionales (0xEFBBBF), que representan el BOM, antes de la firma “PK” (0x504B), el estándar del ZIP. El BOM usualmente se encuentra en archivos de texto con codificación UTF-8. El punto es que algunas herramientas no reconocen este archivo como un ZIP, sino que lo identificarán como un archivo de texto y no podrán abrirlo.

Algunas utilidades como WinRAR y 7-Zip simplemente ignoran el prefijo y extraen su contenido correctamente. Una vez que el usuario extrae el archivo con cualquiera de estas utilidades, éste se ejecuta e infecta el sistema.

Malware 2
Qué pasa si el Malware se descarga
Después de ejecutar una secuencia de procesos que buscan evitar la detección de las acciones maliciosas, se descarga el malware principal: variantes de un malware bancario con funciones de RAT que queda latente en el equipo de la víctima hasta cuando el usuario intente acceder a su cuenta bancaria por Internet. En ese momento, comenzará a capturar contraseñas, códigos de acceso, fecha de cumpleaños, entre otras formas de autenticación.

“Identificamos una campaña maliciosa que utiliza el método BOM contra usuarios bancarios brasileños y chilenos. Es común que los cibercriminales intenten distintas formas de atacar a sus objetivos, mientras pasan inadvertidos, pero en este caso recurrieron a un método que data de hace años. Únicamente aquellos usuarios que cuentan con una solución de seguridad robusta están a salvo”, afirma Santiago Pontiroli, analista de seguridad de Kaspersky Lab.