Troià bancari sota el nom del Ministeri de l’Interior

Si repassem quals estan sent les amenaces més actives durant les últimes setmanes, els troians bancaris estarien, sens dubte, entre els primers llocs. Les campanyes de propagació d’aquest tipus de malware no deixen de succeir-se i utilitzen tota mena d’estratagemes per aconseguir el seu objectiu, encara que això impliqui suplantar el Ministeri de l’Interior i utilitzar la web d’un hospital espanyol per allotjar malware.

Correu alertant d’un bloqueig del DNI

Com sempre, els delinqüents intenten utilitzar un ganxo prou potent per intentar convèncer els usuaris que reben els seus correus que han de descarregar els arxius maliciosos que han preparat. En aquesta ocasió, s’ha suplantat ni més ni menys que al Ministeri de l’Interior (fins i tot en el remitent de l’email) encara que es poden observar errors en la redacció del missatge a l’hora d’intentar representar accents o la lletra “ñ” (errors molt típics quan el missatge el redacta usant una codificació de caràcters que no és l’espanyola).

Així mateix, l’ús de logotips oficials i fins i tot el llaç negre pels 10 dies de dol declarats pel Govern, al costat de l’etiqueta emprada per fer front a la covid-19 en les seves comunicacions, demostren que els delinqüents estan al tant de la situació al nostre país i aconsegueixen fer més creïble aquest tipus de correus electrònics.

En aquest missatge s’indica que el nostre DNI ha estat bloquejat i que es comença un cas penal en el nostre nom, indicant-nos que hi ha més informació adjunta al missatge. No obstant això, el que trobem és un enllaç de descàrrega, enllaç que ens redirigirà a un web que no té res a veure amb el Ministeri de l’Interior ja que està allotjada al Vietnam. És en aquesta web on se’ns ofereix la descàrrega d’un arxiu comprimit. Només veient el format utilitzat per nomenar aquest fitxer ja ens fa recordar a campanyes anteriors de cert troià bancari d’origen brasiler.

Aquest fitxer comprimit descarregat conté al seu interior un fitxer .msi, encarregat d’executar la primera fase de l’atac. L’ús d’aquest tipus de fitxers (paquets d’instal·lació de Windows) s’ha tornat molt comú durant els últims mesos, especialment pels creadors de troians bancaris originaris del Brasil.

Execució del malware

A l’executar podem veure com el malware procedeix a mostrar-nos una finestra característica dels paquets d’instal·lació de programari per al Windows.

No obstant això, mentre l’usuari està observant aquesta finestra, el malware comença a realitzar connexions a URLs que els delinqüents han compromès per allotjar més codi maliciós. Especialment preocupant és una d’aquestes URL situada a Espanya, ja que pertany a la web d’un hospital de Palma de Mallorca. Aquesta URL està, efectivament, allotjant codi maliciós.

Si procedim a descarregar aquest arxiu maliciós allotjat al web de l’hospital veiem com l’extensió de la mateixa és .flv, extensió utilitzada normalment pels arxius Flash Video. No obstant això, aquesta extensió no és l’autèntica i ha estat modificada pels delinqüents perquè el fitxer utilitzat no aixequi sospites a la web compromesa.

L’extensió real d’aquest arxiu és .zip i, si la modifiquem podrem veure que conté tres arxius al seu interior pertanyents a la segona fase d’aquest malware.

A l’hora d’identificar aquests arxius, se’ls detecta com a sospitosos en un elevat percentatge, indicatiu de que formen part d’aquesta campanya de propagació de codi maliciós.

Pel que fa a el tipus de malware a què ens estem enfrontant, observem que, després de revisar el vector d’atac, la forma que té d’executar-se en el sistema i altres indicatius com el nom de l’arxiu .flv descarregat en la segona fase i la detecció d’element sospitós, ens trobaríem davant d’una nova variant del troià bancari brasiler Win32/Spy.Mekotio.CY.

Conclusió

Campanyes com la que acabem d’analitzar demostren que els delinqüents segueixen planejant per tractar d’aconseguir noves víctimes. Portem diversos mesos observant i analitzant mostres de troians brasilers que tenen a Espanya com un dels seus principals objectius i, tot i així, segueixen picant nous usuaris en aquest tipus de trampes. Cal que els usuaris estiguin ben protegits davant d’aquestes i altres amenaces per evitar posar-ho fàcil als delinqüents i, desconfiar d’aquelles comunicacions per email no sol·licitades, vinguin d’on vinguin i especialment si s’adjunten un arxiu o enllaç que no hem sol·licitat.