Una nueva y peligrosa campaña de phishing en México, que podría eludir a los antivirus comunes y que está diseñada para atacar a los usuarios de instituciones financieras en México como Banamex, BBVA, HSBC, Santander, Banorte, entre otros, ha sido lanzada por la llamada FenixBotnet,
Los ciberdelincuentes envían miles de mensajes SMS de falsos citatorios del SAT para distribuir el malware, instando a las personas a descargar un archivo PDF con el pretexto de acceder a la información de la autoridad tributaria; sin embargo, el ‘documento’ en realidad es una URL maliciosa.
El investigador en ciberseguridad Germán Fernández fue quien alertó sobre la activación de la campaña masiva que busca robar los datos bancarios de mexicanos y, en declaraciones a Publimetro México, advirtió que los atacantes están utilizando técnicas novedosas para tomar el control de los dispositivos de las víctimas que —sin pretenderlo— instalan el virus.
“Usan componentes como el software benigno Remote Utilities, que no es detectado como malicioso. Es una herramienta formal y es para administrar equipos de forma remota. En el caso de que pillen el malware y sea borrado, con ese componente logran permanecer en el equipo, lo que es conocido como persistencia”, explicó el consultor informático de CronUp.
¿Cuál es el modus operandi de la FenixBotnet?
El proceso es sencillo pero efectivo. Al ingresar al enlace, el usuario es redirigido a una página que simula un error al abrir el supuesto PDF, lo que motiva al usuario a pulsar un botón para “solucionar” el problema. “En este botón, cuando presionas solucionar, se copia un código malicioso en el portapapeles de tu máquina”, explicó Fernández.
Acto seguido, las instrucciones piden al usuario abrir el cuadro de comandos de Windows con la combinación Windows + R, luego pegar el código y presionar Enter. Este paso final es el que permite al malware infiltrarse en el sistema.
¿Cómo roban los datos bancarios de las víctimas?
Fernández advirtió que esta botnet está diseñada para instalar múltiples componentes en el dispositivo comprometido, incluyendo el Narnia RAT. “Hay un stealer que se llama Narnia RAT, que básicamente permite el control remoto y también el robo de información”, señaló el experto. Una vez instalado, este software espía puede capturar contraseñas, registrar las pulsaciones de teclado, y obtener archivos de la computadora o el teléfono de la víctima.
De acuerdo con el análisis realizado por el especialista, la campaña —que se encuentra actualmente activa en México— está dirigida específicamente a los clientes de bancos, entre los cuales se encuentran Banamex, BBVA, Santander y Banorte.
La víctima copia y pega el código malicioso sin saberlo
La Phoenix Botnet utiliza una técnica recientemente conocida, en la que el usuario es quien pega el código malicioso en el sistema. “Están ocupando una técnica recientemente conocida, entre comillas, que es básicamente copiar y pegar uno mismo o la víctima el código malicioso”, dijo Fernández. Este enfoque aprovecha la tendencia de los usuarios a seguir instrucciones al pie de la letra, especialmente cuando se trata de resolver problemas técnicos o, en este caso, el miedo a un citatorio del SAT.
Otra de las novedades es que el método de distribución inicial del malware es por SMS, un canal menos utilizado en los ataques tradicionales de phishing. “Lo novedoso de esta nueva campaña es que están distribuyendo el malware a través de mensajes de texto. Eso es el acercamiento inicial hacia las víctimas”, indicó Fernández. Esta técnica hace que la campaña sea menos sospechosa para los usuarios, quienes podrían no asociar los mensajes de texto con amenazas de ciberseguridad.
¿Cómo evitar ser víctima de estos ciberataques?
Para reducir el riesgo de ser víctima de este tipo de ataques, es fundamental:
- Mantenerse alerta: Desconfiar de mensajes o correos electrónicos que soliciten hacer clic en enlaces o descargar archivos, especialmente si provienen de remitentes desconocidos.
- Educarse en ciberseguridad: Estar informado sobre las últimas tácticas de los ciberdelincuentes y aprender a identificar correos electrónicos fraudulentos.
- Verificar la autenticidad: Revisar cuidadosamente cualquier enlace o archivo recibido y confirmar la identidad del remitente antes de interactuar con él.
- Compartir información: Informar a otros sobre las amenazas existentes para ayudar a reducir el impacto de las campañas de malware.
- Mantener software actualizado: Asegurarse de que todos los programas y sistemas operativos estén actualizados con los últimos parches de seguridad.
- Utilizar contraseñas fuertes: Crear contraseñas únicas y complejas para cada cuenta en línea.
- Habilitar la autenticación de dos factores: Agregar una capa extra de seguridad a las cuentas en línea.
- Realizar copias de seguridad regularmente: Proteger los datos importantes creando copias de seguridad periódicas.