Numerosas víctimas han sufrido ya robos de sus activos bancarios por culpa de esta amenaza recién descubierta. Basando la información en los datos recolectados por Livegrid -el sistema de identificación de malware basado en la nube de ESET–, ya se han producido varios cientos de infecciones en Turquía, mientras que también se han observado docenas de infecciones en la República Checa, Reino Unido y Portugal. Todo hace presagiar que seguirá extendiéndose por otros países europeos.
Este peligroso y sofisticado malware bancario nombrado como Hesperbot se está propagando utilizando correos similares a los de phishing y también intenta infectar dispositivos móviles que funcionen con Android, Symbian y Blackberry.
Detectado como Win32/Spy.Hesperbot, esta amenaza incorpora características de keylogger, puede generar capturas de pantalla y vídeos y establecer un proxy remoto, incluyendo también algunas técnicas más avanzadas como crear una conexión remota al sistema infectado.
“El análisis de la amenaza reveló que estábamos tratando con un troyano bancario, con funcionalidad similar y objetivos idénticos a los conocidos Zeus o SpyEye, pero las significativas diferencias nos indicaron que se trataba de una nueva familia de malware, no una variante de un troyano conocido”, explica Robert Lipovsky, investigador de malware de ESET que lidera el equipo encargado de analizar esta amenaza. “Los productos de ESET como ESET Smart Security y ESET Mobile Security ofrecen protección frente a este malware”, añade.
Los atacantes buscan obtener las credenciales de acceso a las cuentas bancarias de la víctima y conseguir que instalen un componente móvil del malware en su teléfono Symbian, Blackberry o Android.
La campaña de propagación de este malware en la República Checa comenzó el 8 de agosto de 2013. Los ciberdelincuentes registraron el dominio www.ceskaposta.net, que es muy similar al sitio web verdadero del servicio postal checo. “No es ninguna sorpresa que los atacantes intentaran engañar a las víctimas para que ejecutaran el malware enviando correos electrónicos similares a los usados en el phishing y que simulan ser información de seguimiento de envíos realizada por el servicio postal. Esta técnica ha sido usada en numerosas ocasiones anteriormente“, afirma Lipovsky. El servicio postal checo respondió a esta amenaza muy rápidamente lanzando una alerta sobre este engaño en su página web.
Sin embargo, el país más afectado por este troyano bancario es Turquía, con detecciones de Hesperbot desde fechas anteriores al 8 de agosto. De hecho, se han registrado incrementos de la actividad de esta botnet que fueron observados en Turquía en julio de 2013, pero ESET también ha encontrado muestras anteriores que se remontan al menos hasta a abril de 2013. El correo de phishing que se enviaba a las víctimas potenciales simulaba ser una factura. Una variante de este malware también ha sido encontrada propagándose, estando diseñada para afectar a usuarios residentes en Portugal y Reino Unido.
Si (
No(
