Queremos alertaros sobre un troyano de tipo bancario que está utilizando la noticia de los mineros atrapados en Chile para distribuirse e infectar a los usuarios. Este troyano ha sido detectado como Banbra.GUC.
El archivo malicioso llega al ordenador con el siguiente icono:
Cuando este archivo es ejecutado, se abre el navegador de Internet Explorer con la página original de YouTube y muestra un vídeo de un canal de noticias sobre el rescate de los mineros chilenos atrapados en una mina desde hace varios días.
Las siguientes imágenes corresponden al vídeo mostrado por el troyano:
Pero todo esto no es más que una maniobra de distracción.
Mientras estamos viendo el vídeo, el troyano se instala en el ordenador, crea una copia de sí mismo y una entrada en el Registro de Windows para ejecutarse en cada inicio.
En el siguiente reinicio, se conecta a un servidor FTP, desde el que se descarga diversos archivos ejecutables que guarda en el sistema.
Estos archivos contienen páginas web falsas que copian el formato y el contenido de las páginas web originales de los servicios afectados, entre ellos, varios bancos brasileños, el servicio de correo de Hotmail y la red social Orkut.
Los bancos brasileños afectados, entre otros, son:
Banco do Brasil
Banco Real
Banco Santander Brasil
Bradesco
Caixa Brasil
Itaú
Unibanco
El archivo principal monitoriza el tráfico de red y cuando detecta que el usuario teclea en la barra de direcciones alguna de las páginas web afectadas, selecciona el archivo que contiene la página web falsa del servicio afectado.
A continuación, cierra el navegador de Internet Explorer y activa el ejecutable correspondiente. Este archivo mostrará una página que imita a la original, pero en la que no funcionarán ninguno de los enlaces y secciones, excepto las partes correspondientes a formularios, con el objetivo de robar información bancaria, contraseñas, direcciones de correo electrónico, etc.
Una vez que hayamos completado los campos correspondientes, la página web falsa se cerrará y se abrirá la original.
Toda la información recogida se almacena en el ordenador en unos archivos, que son posteriormente enviados a través de correo electrónico a su creador.
Este troyano puede ser distribuido a través de mensajes de correo electrónico o enlaces publicados en redes sociales, por lo que es necesario extremar las precauciones ante este tipo de situaciones y, sobre todo, ser prudente.
Para más información sobre este troyano, puedes consultar la enciclopedia de malware:
https://www.pandasecurity.com/es/security-info/223079/Banbra.GUC
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
