Tenga cuidado con las campañas de spam malintencionadas que distribuyen troyanos bancarios

El Troyano Bancario se define como aquel malware que busca robar datos bancarios de los usuarios, es un software dañino, que se oculta como si fuera legítimo, para que sus víctimas no lo detecten y abran el correo o descarguen un archivo para con esto infectar sus sistemas y robar su información.

Por otra parte, el spam se define como cualquier forma de comunicación no solicitada que se envía de forma masiva. Normalmente se ve reflejado por medio de un correo electrónico de publicidad enviado a un gran número de direcciones, mensaje de texto (SMS), redes sociales o incluso mensajes de voz.  

A mediados de marzo de 2021, observamos dos nuevas campañas de spam. Luego de previas investigaciones se llego a la conclusión que estas campañas tenían como finalidad la distribución de troyanos bancarios, los mensajes de estas campañas, estaban escritos en inglés y contenían archivos adjuntos comprimidos con ZIP, o enlaces a archivos ZIP. 

En la mayoría de los casos, la carga útil era el malware IcedID (Trojan-Banker.Win32.IcedID), pero también hemos visto algunas muestras de QBot (Backdoor.Win32.Qbot, también conocido como QakBot). Durante los picos de la campaña observamos un aumento en la actividad de estos troyanos: más de cien detecciones por día.

QBot también es un troyano bancario. Se trata de un solo ejecutable con una DLL incrustada (cuerpo principal) capaz de descargar y ejecutar módulos adicionales que realizan actividades maliciosas: inyecciones web, recopilación de correos electrónicos, captura de contraseñas, etc.

IcedID es un troyano bancario capaz de realizar inyecciones web, detectar máquinas virtuales y llevar a cabo otras acciones maliciosas. Consta de dos partes: el descargador y el cuerpo principal, que es el que realiza toda la actividad maliciosa. El cuerpo principal está oculto en una imagen PNG que el descargador descarga y descifra.

Ninguna de estas familias de malware es nueva: ya hemos visto su distribución a través de campañas de spam y diferentes descargadores, como el recién retirado Emotet. Sin embargo, en la última campaña hemos observado varios cambios en el troyano IcedID. Tomado del artículo de Securelist.