ESET, compañía líder en detección proactiva de amenazas, advierte sobre un falso correo electrónico en español que intenta hacer creer a las potenciales víctimas que se trata de una comunicación oficial de WhatsApp que invita a descargar una copia de seguridad de las conversaciones y el historial de llamadas en la aplicación de mensajería.
El objetivo real de la comunicación es distribuir el troyano bancario Grandoreiro, que roba credenciales bancarias mediante ventanas emergentes falsas que hacen creer a la víctima que se trata del sitio oficial del banco, entre otras funcionalidades.
En el correo que suplanta la identidad de WhatsApp, el mensaje incluye un archivo adjunto nombrado «Open_Document_513069.html”.
Se trata de un archivo HTML que contiene una URL acortada mediante el servicio bitly. Según un análisis realizado en el laboratorio de ESET Latinoamérica del HTML adjunto, al hacer clic redirecciona a un sitio desde el cual se descarga un archivo .zip. Ese archivo comprimido contiene un instalador MSI que descarga la amenaza, el troyano bancario Grandoreiro. Si el usuario ejecuta el archivo descargado, probablemente el equipo haya sido infectado con el malware.
Una vez que infectó el equipo de la víctima, el objetivo principal de este troyano es robar credenciales bancarias mediante ventanas emergentes falsas que hacen creer a la víctima que se trata del sitio oficial del banco.
Además, al igual que los otros troyanos bancarios latinoamericanos, cuenta con funcionalidades de backdoor que le permiten al atacante realizar otras acciones maliciosas en el equipo comprometido, como registras las pulsaciones de teclado (keylogging), simular acciones de mouse y teclado, cerrar sesión de la víctima, bloquear el acceso a ciertos sitios o incluso reiniciar el equipo, por nombrar algunas de sus capacidades.
Desde el sitio de la Oficina de Seguridad del Internauta no descartan que existan otros correos en circulación con asuntos diferentes. De hecho, en marzo de este año estuvo circulando en España una campaña de phishing de similares características en la cual se suplantaba la identidad de WhatsApp utilizando la misma excusa, y también hay registros de una campaña similar en 2020.
Síguenos en nuestro Instagram, Twitter, Facebook y YouTube recibe de inmediato los hechos noticiosos y análisis tal como están ocurriendo.
Con información de El Impulso