El departamento antifraude de Hispasec está especializado en la detección y análisis de malware bancario, el destinado a vaciar las cuentas de los usuarios de la banca electrónica. En esta ocasión encontramos correos maliciosos cuyo contenido está dirigido a infectar a usuarios que pertenezcan al Banco de Bogotá. Como es habitual a través de ingeniería social, engañando al usuario mediante un correo electrónico en el que se notifica de un supuesto embargo y de la factura a abonar.

Por supuesto, el correo (que mostramos a continuación) no tiene ningún tipo de veracidad: 

Este e-mail incluye como adjunto un archivo comprimido .zip que a su vez contiene un ejecutable malicioso. Este ejecutable se corresponde con el del malware conocido como Remcos RAT. Se trata de una herramienta de control remoto a distancia ("Remote Administration Tool") usada, por supuesto, con fines maliciosos.

Está configurada para obtener las contraseñas de los usuarios del Banco de Bogotá, por lo que todos aquellos usuarios que hayan ejecutado la muestra pueden verse afectados.

En la imagen anterior, podemos observar que las comunicaciones con el atacante se realizan a través de microsoft2563.dynu.com:6600, ya sea para tomar control remoto del dispositivo infectado o para el envió de datos robados (Keylogger, por ejemplo).

Como siempre, la mejor recomendación ante este tipo de amenazas es evitar descargar o acceder a ninguna URL o adjunto de un e-mail que desconozcamos o del que sospechemos.

Fernando Díaz

[email protected]