Un nuevo malware llamado SambaSpy, que no se había documentado hasta ahora, está afectando a usuarios en Italia a través de una campaña de phishing llevada a cabo por un supuesto grupo de cibercriminales de habla portuguesa brasileña.
"A menudo, los hackers buscan atacar múltiples países para maximizar sus ganancias, pero en este caso, los atacantes se están enfocando solo en Italia", explica Kaspersky en un reciente análisis. "Es probable que estén probando su estrategia con los usuarios italianos antes de extender sus operaciones a otras regiones".
El ataque comienza con un correo de phishing que incluye un archivo adjunto en formato HTML o un enlace incrustado. Si el archivo HTML es abierto, se activa un archivo ZIP que contiene un programa encargado de descargar el malware, o un dropper, que ejecuta la carga maliciosa. El downloader se conecta a un servidor remoto para descargar el malware, mientras que el dropper extrae el archivo malicioso directamente desde el adjunto en lugar de obtenerlo de otra ubicación.
La segunda forma en la que SambaSpy infecta a sus víctimas es aún más astuta. Si haces clic en el enlace malicioso, pero no eres el objetivo deseado, te redirige a una factura legítima alojada en FattureInCloud, haciéndote pensar que todo está en orden.
Sin embargo, si eres parte del objetivo, el mismo enlace te llevará a un servidor web malicioso que muestra una página HTML con código JavaScript, que curiosamente incluye comentarios en portugués brasileño.
"El truco es que redirigen a los usuarios a una URL maliciosa en OneDrive, pero solo si usan navegadores como Edge, Firefox o Chrome con el idioma configurado en italiano", explica Kaspersky. "Si no cumples con estas condiciones, simplemente te dejan en la página, sin que te des cuenta de lo que sucede".
Aquellos que cumplen con estos requisitos ven un documento PDF alojado en OneDrive que les pide hacer clic en un enlace para visualizarlo. Al hacer clic, la víctima descarga un archivo JAR malicioso desde MediaFire, que contiene el malware, como en el ataque anterior.
SambaSpy, en esencia, es un troyano de acceso remoto con una lista impresionante de capacidades. Desarrollado en Java, es como una navaja suiza para los cibercriminales: puede administrar archivos y procesos, controlar de forma remota el escritorio, cargar y descargar archivos, controlar la cámara web, registrar pulsaciones de teclado, rastrear el portapapeles, tomar capturas de pantalla y ejecutar comandos a través de una shell remota.
Además, SambaSpy está diseñado para mejorar sus funciones sobre la marcha, descargando complementos adicionales según sea necesario. Y como si eso fuera poco, también roba credenciales almacenadas en navegadores como Chrome, Edge, Opera, Brave, Iridium y Vivaldi, lo que lo convierte en una herramienta de hacking extremadamente peligrosa.
Conoce más sobre: Nueva Botnet de IoT 'Raptor Train': 200.000 Dispositivos Comprometidos
La investigación sobre la infraestructura utilizada sugiere que los atacantes detrás de SambaSpy están ampliando su objetivo, y ahora también están poniendo la mira en Brasil y España, lo que indica una posible expansión de sus operaciones.
"Hay varios indicios que conectan esta campaña con Brasil, como comentarios en portugués dentro del código y dominios dirigidos a usuarios brasileños", explicó Kaspersky. "Esto encaja con un patrón común: los atacantes en América Latina suelen enfocarse en países europeos que hablan idiomas similares, como Italia, España y Portugal".
Nuevas campañas de los troyanos bancarios BBTok y Mekotio están apuntando a usuarios en América Latina
En las últimas semanas, ha habido un notable aumento de ataques de phishing que distribuyen estos troyanos, utilizando temas relacionados con transacciones comerciales y judiciales para engañar a las víctimas. Los cibercriminales están refinando sus métodos: por ejemplo, Mekotio ahora emplea una técnica más sofisticada, ofuscando su script de PowerShell para evitar ser detectado.
En el caso de BBTok, los atacantes usan enlaces de phishing para descargar archivos ZIP o ISO, que contienen archivos LNK diseñados para iniciar la infección. El archivo LNK ejecuta un binario legítimo de Windows, MSBuild.exe, que luego carga un archivo XML malicioso escondido dentro del archivo ISO. Esto le permite a los atacantes usar rundll32.exe para activar la carga útil del troyano.
Al aprovechar herramientas legítimas como MSBuild.exe, los atacantes logran ejecutar su código malicioso sin levantar sospechas, eludiendo muchas soluciones de seguridad tradicionales.
Por otro lado, los ataques relacionados con Mekotio comienzan con una URL maliciosa dentro de un correo de phishing. Al hacer clic en ella, el usuario es redirigido a un sitio web falso que descarga un archivo ZIP. Este archivo contiene un script por lotes diseñado para ejecutar un script de PowerShell, que actúa como descargador para el troyano. Antes de proceder con la infección, el script analiza el entorno de la víctima para asegurarse de que se encuentra en uno de los países objetivo.
Estas campañas de phishing cada vez más avanzadas, que buscan robar credenciales bancarias y realizar transacciones no autorizadas, subrayan la necesidad urgente de mejorar las medidas de ciberseguridad. Los troyanos se han vuelto mucho más efectivos para evadir la detección, mientras que los grupos criminales detrás de ellos están apuntando a un mayor número de víctimas, buscando maximizar sus ganancias.
Te podrá interesar leer: México: Epicentro de Ciberataques en América Latina
¿Cómo protegerte de estos troyanos?
Protegerte contra troyanos bancarios como BBTok y Mekotio requiere seguir buenas prácticas y utilizar herramientas de seguridad adecuadas. Aquí te dejamos algunas medidas esenciales para mantenerte seguro:
-
Mantén tu software actualizado: Asegúrate de que tu sistema operativo, navegador y aplicaciones de seguridad estén siempre al día. Las actualizaciones incluyen parches de seguridad que corrigen vulnerabilidades que los ciberdelincuentes podrían aprovechar.
-
Ten precaución con los correos electrónicos: Desconfía de los correos no solicitados, sobre todo si contienen enlaces o archivos adjuntos. Verifica siempre el remitente y no hagas clic en enlaces sospechosos ni descargues archivos de fuentes desconocidas.
-
Usa un software de seguridad confiable: Instala y mantén actualizado un buen antivirus que detecte troyanos y malware en tiempo real. Asegúrate de que ofrezca protección avanzada contra amenazas nuevas y conocidas.
-
Evita descargar archivos sospechosos: No descargues archivos de sitios web poco confiables o que no conozcas bien. Si te envían archivos ZIP, ISO o LNK sin una justificación clara, es mejor evitar abrirlos, ya que estos formatos son frecuentemente utilizados para ocultar malware.
-
Habilita la autenticación de dos factores (2FA): Activa la autenticación de dos factores en todas tus cuentas, especialmente las bancarias. Esto agrega una capa extra de seguridad, lo que dificulta que los atacantes accedan a tus cuentas, incluso si obtienen tus contraseñas.
-
Monitorea tus cuentas bancarias: Revisa periódicamente tus estados de cuenta en busca de movimientos sospechosos. Si detectas alguna actividad inusual, contacta a tu banco de inmediato para bloquear posibles transacciones fraudulentas.
-
Desactiva macros y scripts desconocidos: Asegúrate de que los macros y scripts no se ejecuten automáticamente al abrir archivos adjuntos o descargas. Configura tu sistema para que solicite confirmación antes de ejecutar cualquier archivo que pueda contener código peligroso.
-
Realiza copias de seguridad: Realizar copias de seguridad periódicas es clave para evitar la pérdida de información en caso de una infección grave. TecnetProtect, una solución integral de ciberseguridad y backup, asegura tus datos y los protege contra ataques, brindando tranquilidad en caso de que necesites restaurar tu sistema tras un ataque de malware.