{"id":944,"date":"2020-12-03T12:13:52","date_gmt":"2020-12-03T11:13:52","guid":{"rendered":"https:\/\/www.semsin.es\/web\/?p=944"},"modified":"2020-12-09T12:14:07","modified_gmt":"2020-12-09T11:14:07","slug":"notificacion-del-bbva-adjunto-malicioso-trata-de-robar-credenciales-almacenadas-en-aplicaciones","status":"publish","type":"post","link":"https:\/\/www.semsin.es\/web\/notificacion-del-bbva-adjunto-malicioso-trata-de-robar-credenciales-almacenadas-en-aplicaciones\/","title":{"rendered":"\u201cNOTIFICACI\u00d3N DEL BBVA\u201d: ADJUNTO MALICIOSO TRATA DE ROBAR CREDENCIALES ALMACENADAS EN APLICACIONES"},"content":{"rendered":"
\n

A la hora de analizar las muestras que recibimos a diario en nuestros laboratorios resulta especialmente interesante ver la evoluci\u00f3n que tienen algunas amenazas con el paso del tiempo. Mientras algunas cambian profundamente sus t\u00e1cticas, t\u00e9cnicas y procedimientos para poder conseguir nuevas v\u00edctimas, otras apenas cambian nada, probablemente porque est\u00e1n convencidas de que van a seguir obteniendo un \u00e9xito notable.
\n<\/p>\n

De nuevo, un correo suplantando al BBVA<\/strong><\/p>\n

Durante los \u00faltimos meses hemos observado varias campa\u00f1as que se hac\u00edan pasar por empresas de todo tipo, as\u00ed como tambi\u00e9n por organismos oficiales. Entre todas las plantillas de correo utilizadas, una de las que m\u00e1s veces hemos visto utilizarse por parte de los delincuentes son las que suplantan entidades bancarias. Este tipo de correos no solo se utilizan para\u00a0casos de phishing<\/a>, sino que tambi\u00e9n son usados para propagar amenazas como\u00a0Emotet<\/a>\u00a0o, tal y como vamos a ver hoy, robar informaci\u00f3n de las aplicaciones instaladas en el sistema.<\/p>\n

El vector de ataque inicial es, tal y como viene siendo habitual en estos casos, un correo electr\u00f3nico que parece provenir desde una direcci\u00f3n perteneciente a la entidad bancaria suplantada, en este caso el BBVA.<\/p>\n

En este mensaje se nos indica que hemos recibido una transferencia de dinero a nuestro nombre con fecha de hoy mismo, 1 de diciembre de 2020, y que tanto la informaci\u00f3n referente a esta transferencia como el n\u00famero de contacto aparecen en el fichero adjunto (detectado en este caso por las soluciones de ESET como una variante del troyano MSIL\/GenKryptik.EXPO). La suplantaci\u00f3n de la identidad de la entidad bancaria incluye su logotipo e informaci\u00f3n comercial, lo que intenta darle una mayor credibilidad.<\/p>\n

No obstante, si analizamos la cabecera del mensaje veremos como hay incongruencias con respecto a quien dice enviar el mensaje y de donde se env\u00eda realmente. Si bien el remitente y la ruta de retorno parecen pertenecer a un dominio de la entidad bancaria suplantada, al analizar el Identificador del mensaje comprobamos como se ha enviado realmente desde el correo de una productora audiovisual espa\u00f1ola.<\/p>\n

Fichero adjunto malicioso<\/strong><\/p>\n

En el correo viene adjunto un fichero que contiene la amenaza propiamente dicho, pero este fichero intenta ocultar su extensi\u00f3n real present\u00e1ndose como un archivo comprimido .gz o, como en este caso, un archivo .rar renombrado a .bin, pudiendo revisar su extensi\u00f3n real si revisamos las propiedades del archivo. Esto se hace para tratar de evadir las soluciones de seguridad que los usuarios pudieran tener instaladas en sus sistemas.<\/p>\n

Al revisar su contenido vemos que, en su interior, contiene un archivo EXE ejecutable denominado \u201cNotificaci\u00f3n de pago.exe\u201d. Este no es el \u00fanico nombre con el que se ha estado propagando esta amenaza durante el d\u00eda de hoy y es posible que muchos usuarios hayan recibido estos archivos con nombres tales como \u201cTransferir datos.exe\u201d o similares.<\/p>\n

\n
\"\"<\/figure>\n<\/div>\n

Si el usuario descomprime y ejecuta este archivo estar\u00e1 ejecutando en su sistema una amenaza que roba informaci\u00f3n de varias de las aplicaciones instaladas en el sistema. En este caso, el objetivo de los atacantes es robar credenciales almacenadas en las aplicaciones objetivo, que suelen ser principalmente navegadores de Internet, clientes de correo electr\u00f3nico, FTPs y VPNs.<\/p>\n

\n
\"\"<\/figure>\n<\/div>\n

Estas credenciales pueden ser usadas posteriormente por los delincuentes para realizar ataques m\u00e1s elaborados a, por ejemplo, redes corporativas accediendo mediante VPNs. Tambi\u00e9n pueden utilizar las credenciales almacenadas en el correo para enviar mensajes en nombre de la v\u00edctima o usar las almacenadas en los navegadores para acceder a alguno de los servicios utilizados por la v\u00edctima, ya sean de \u00edndole personal o profesional.<\/p>\n

 <\/p>\n

Fuente: blogs.protegerse.com<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

A la hora de analizar las muestras que recibimos a diario en nuestros laboratorios resulta especialmente interesante ver la evoluci\u00f3n que tienen algunas amenazas con…<\/p>\n

Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":945,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false},"categories":[44,43,1],"tags":[108,109,104,46,105],"_links":{"self":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/944"}],"collection":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/comments?post=944"}],"version-history":[{"count":1,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/944\/revisions"}],"predecessor-version":[{"id":947,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/944\/revisions\/947"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/media\/945"}],"wp:attachment":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/media?parent=944"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/categories?post=944"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/tags?post=944"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}