Hesperbot: Troyano que afecta a usuarios de banca electrónica en Europa y Turquía

El laboratorio de investigación y análisis de malware de ESET ha descubierto un nuevo y peligroso troyano bancario, Win32/Spy.Hesperbot, con funcionalidad similar y objetivos idénticos a los conocidos Zeus o SpyEye. De momento ha afectado a usuarios de banca electrónica en República Checa, Portugal, Reino Unido y Turquía, aunque según destaca ESET «todo hace presagiar que seguirá extendiéndose por otros países europeos».

Consigue engañar a los usuarios con métodos similares al phishing  para que ejecuten el código dañino utilizando campañas de propagación bien diseñadas y creíbles relacionadas con entidades de confianza. El malware introduce código en el sitio web suplantado invitando al usuario a instalar una aplicación en su teléfono móvil  por lo que afecta también a dispositivos móviles que funcionen con Android, Symbian y Blackberry.

Recursos afectados

Usuarios que reciban el correo fraudulento y accedan a las peticiones que éste solicita: descargar y abrir el fichero adjunto. Afecta también a dispositivos móviles que funcionen con Android, Symbian y Blackberry.

Solución

Si has recibido un correo de estas características y has descargado y abierto el fichero, es posible que se haya infectado. Es importante analizar el dispositivo con un antivirus para comprobar que no está afectado y de ser así, poder eliminarlo lo antes posible para evitar problemas de seguridad.

Si tiene problemas con la eliminación, desde la OSI, ofrecemos los siguientes servicios de ayuda: Asistente de SeguridadAtención telefónica en el 901 111 121Buzón de incidentes.

Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

  • no contestes en ningún caso a estos correos
  • precaución al seguir enlaces en correos aunque sean de contactos conocidos
  • precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos

Detalles

La ingeniería social es utilizada por los delincuentes en Internet para enviar correos fraudulentos para engañar a los usuarios. En esta ocasión, el equipo de Eset ha detectado que la campaña de propagación de este código dañino comenzó el pasado 8 de agosto de 2013 en la República Checa  registrando el dominiowww.ceskaposta.net, que es muy similar al sitio web verdadero del servicio postal checo. Sin embargo, el país más afectado por este troyano bancario es Turquía, con detecciones de Hesperbot desde fechas anteriores al 8 de agosto.

Es cada vez más común que los troyanos bancarios utilicen componentes móviles para poder saltarse las medidas de autenticación bancaria. El malware introduce código en el sitio web que invita al usuario a instalar una aplicación en su teléfono móvil. A la víctima se le ofrece un listado de modelos de teléfono y, tras introducir su número de teléfono, se envía un enlace a su móvil para descargar el componente móvil. Se soportan tres plataformas de móviles: Android, Symbian y Blackberry.


Imagen extraída del blog de Eset España

Según el análisis de ESET, Win32/Spy.Hesperbot posee una arquitectura modular. La víctima descarga y ejecuta un archivo ZIP que protege y  empaqueta de forma personalizada un componente de descarga de ficheros (dropper). La función deldropper es inyectar el componente principal del malware (core) en el fichero del sistema explorer.exe. A continuación, el core descarga y carga módulos adicionales, complementos utilizados para realizar acciones maliciosas.


Imagen extraída del blog de Eset España

El módulo core, se ejecuta ahora en el contexto del explorer.exe, controla las comunicaciones con el servidor C&C (comando y control) y lanza otros módulos complementarios.

Más información en el análisis técnico de ESET.

Fuente: http://www.osi.es

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s