El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky Lab ha detectado una nueva tendencia en varias campañas maliciosas de origen brasilero que difunden componentes "banloader" utilizados para instalar troyanos bancarios en las máquinas de sus víctimas: el banloader está en formato JAR (Archivo Java), lo que significa que el troyano bancario tiene el potencial de ejecutarse en diferentes plataformas, como Linux, OS X y Windows y, en algunos casos, en dispositivos móviles.
Los ataques se distribuyen por medio de la ingeniería social, utilizando como gancho diversos asuntos, como impuestos a la propiedad, licencias o multas de tráfico. Los mensajes contienen enlaces maliciosos que bajan el archivo JAR, o incluyen el malware dentro de un archivo adjunto, como ZIP o RAR, por ejemplo.
Debido a que los cibercriminales brasileños están entre los más astutos en crear mensajes falsos utilizando la ingeniería social, la probabilidad de que los destinatarios hagan clic en el enlace malicioso es alta. Lo que sucede después dependerá del grupo criminal que lanzó el ataque.
"Hemos identificado diferentes grupos de ciberdelincuentes brasileños que utilizan este componente JAR para instalar el malware bancario", dijo Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis en América Latina. "Algunos grupos seguirán la ruta más fácil, que es abusar de la configuración del PAC de los navegadores de la víctima y redirigirla a páginas falsas cuando tratan de visitar sitios bancarios. Otros irán por algo más grande: instalar en el sistema troyanos bancarios con mayor capacidad de espionaje. De cualquier manera, una vez que la víctima haga clic en el enlace malicioso, el malware bajará programas que le roban su dinero".
Los expertos de Kaspersky Lab han detectado que la mayoría de las víctimas se encuentran en Brasil, Portugal, España, Estados Unidos, Argentina y México. Otras técnicas de infección similares también se han detectado en Alemania y China.
Bestuzhev señala que, hasta la fecha, los expertos de Kaspersky Lab sólo han descubierto muestras de malware dejadas por banloaders JAR que funcionan en Windows. Sin embargo, es evidente que el primer paso hacia la posibilidad de infectar diferentes plataformas ha sido dado. "Es sólo cuestión de tiempo hasta que detectemos un troyano bancario compatible con otros sistemas. No hay ninguna razón para creer que los cibercriminales limitarán sus ataques a Windows", concluyó Bestuzhev.
Según las características del banloader, los productos de Kaspersky Lab lo detectan y bloquean en los tres grupos siguientes: Trojan-Banker.Java.Agent, Trojan-Downloader.Java.Banload y Trojan-Downloader.Java.Agent.
Información adicional sobre esta investigación está disponible en Securelist: https://securelist.lat/blog/
Acerca de Kaspersky Lab
Kaspersky Lab es una de las compañías de seguridad informática de más rápido crecimiento del mundo y la más grande de propiedad privada. La empresa se encuentra entre las cuatro mejores del mundo como proveedora de soluciones de seguridad para usuarios endpoint (IDC, 2014). Desde 1997, Kaspersky Lab ha sido innovadora en ciberseguridad y ofrece soluciones de seguridad digital eficaces e inteligencia de amenazas para las grandes corporaciones, PyMEs y público en general. Kaspersky Lab es una compañía internacional que opera en casi 200 países y territorios de todo el mundo. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab en todo el mundo.