Dosis extra de vacuna: el correo que roba credenciales bancarias en Chile

Publicado el 12 Abr 2022

20220413w18

Los cibercriminales siguen aprovechando el tema del Covid-19 para distribuir malware. En esta oportunidad ESET recibió de parte de Lockbits, una campaña de malspam que se está propagando entre usuarios del país. La misma comienza por un correo electrónico con el asunto: “Dosis extra de vacuna!” y contiene un enlace para descargar un adjunto que desencadena la infección del troyano Mekotio, un malware que roba credenciales para acceder a cuentas bancarias online.

El correo simula ser una comunicación oficial del Ministerio de Salud de Chile y explica que la persona ha sido seleccionada para recibir una dosis adicional de la vacuna. El mensaje incluye un enlace para descargar el detalle del día y la hora para recibir la vacuna contra la Covid-19.

Si quien recibe el correo cae en el engaño y hace clic para descargar el adjunto será redirigido a un sitio web donde se va a descargar un archivo comprimido en formato .zip que aparenta ser un archivo PDF. El mismo contiene un archivo malicioso con extensión .msi detectado por las soluciones de seguridad de ESET como JS/TrojanDropper.Agent.OCC, una familia de códigos maliciosos que intenta ejecutar en el dispositivo de la víctima otro código malicioso.

Si quien recibió el correo electrónico cuenta con una solución de seguridad instalada en el dispositivo, la amenaza va a ser bloqueada sin consecuencias para la seguridad de la información de la persona. En cambio, si el dispositivo no está protegido y la amenaza logra iniciarse, se ejecutará un intérprete de AutoHK, un lenguaje de scripting bastante versátil que en los últimos años fue visto en diversas campañas maliciosas en Latinoamérica, para descargar y ejecutar un nuevo archivo comprimido que simula ser un componente de Java.

Sin embargo, lo que realmente contiene este archivo es una DLL detectada como Win32/Spy.Mekotio.DJ, un código malicioso que intentará robar credenciales bancarias de la víctima.

Según Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, “este tipo de códigos malicioso está relacionado con una serie de familias de troyanos bancarios con una actividad importante en países de la región desde hace ya unos años. Desde finales de 2021 ya se habían visto campañas distribuyendo Mekotio utilizado técnicas similares, pero con otras herramientas de ingeniería social. Este tipo de campañas ya habían sido alertadas durante este año en otros países como España, México y Argentina”.

Luego de entender la forma en que funcionan este tipo de campañas, desde ESET destacaron la importancia de contar con una solución de seguridad instalada y actualizada en todos los dispositivos que ayude a bloquear estos ataques. También será necesario contar con suficiente información para reconocer estos correos maliciosos que se disfrazan de falsas campañas.

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

Redacción

Artículos relacionados

Artículo 1 de 2