Nuevo troyano bancario

Los expertos de G Data Security Labs nos previenen contra una nueva oleada de malware que persigue a los titulares de tarjetas de crédito y usuarios de banca on-line. Desde el miércoles 18 de noviembre se han enviado millones de mensajes de correo electrónico con falsas peticiones de pago. En estos correos se solicita a clientes de banca on-line que abonen una cantidad pendiente de pago o bien que utilicen una herramienta adjunta para declinar dicho abono.

El adjunto “module.zip” contiene un archivo ejecutable que instala un troyano en el PC con el objetivo de registrar los números de tarjetas de crédito y de acceso a banca on-line. Además, el Trojan.Win32.Sasfis.vbw se conecta a servidores en Ucrania y Estados Unidos para descargar la información e instalar nuevo malware. Se han enviado estas falsas peticiones de pago en nombre de multinacionales como Microsoft, Citrix, Delta Airlines, Starbucks, Yahoo, Novell, Negro & Decker o Avis.

Ralf Benzmüller, responsable de G Data Security Labs, afirma que «nosotros consideramos este caballo de Troya como muy peligroso. Los delincuentes cibernéticos parecen haber puesto el punto de mira en la banca en línea y el tipo de estafa utilizada coincide exactamente con los últimos incidentes que han provocado la cancelación de miles de tarjetas bancarias. Nuestro consejo: no se dejen engañar por facturas falsas, no atienda a pagos que no haya realizado y, por supuesto, no instale el archivo adjunto«.

Ejemplo de petición de pago fraudulenta.

La víctima recibe un correo electrónico con una solicitud de pago emitida por alguna empresa multinacional sobradamente conocida, entre ellas Microsoft, NBC Universal, Black & Decker, Steinway & Sons, Airways, Delta o Avis. El correo electrónico incluye un programa adjunto llamado «modulo.exe» en un archivo zip que el usuario debe ejecutar para cancelar el mencionado pago. El archivo en cuestión resulta ser un caballo de Troya que se introduce en el sistema, ejecuta operaciones en un segundo plano y facilita la descarga de nuevo código malicioso. Una función como puerta trasera pondrá el equipo bajo el control de los estafadores, que podrán utilizarlo para todo tipo de actividades ilegales.

G Data recomienda a todos los usuarios eliminar correos electrónicos con las características mencionadas y actualizar las firmas de virus. Como regla general, e-mails con archivos adjuntos inesperados y de remitentes desconocidos con supuestas facturas o solicitudes de pago deben ser manejados con cautela y, en caso de duda, eliminados.