Noticias

Modus operandi: Así es cómo Botnet Fenix suplanta al SAT y roba tu cuenta bancaria

Una nueva campaña utiliza mensajes SMS falsos para engañar a usuarios mexicanos y obtener sus credenciales bancarias mediante un malware persistente

Botnet Fenix.
Botnet Fenix. La campaña realiza envío masivo de mensajes falsos vía SMS. (Foto: Publimetro México)

La llamada botnet Fenix lanzó una peligrosa campaña dirigida a usuarios bancarios en México, utilizando mensajes de texto falsos que simulan ser del SAT. Este engaño lleva a las víctimas a descargar un archivo que en realidad instala malware en sus dispositivos para posteriormente sustraer la información necesaria para acceder a las cuentas de sus víctimas.

El problema, como documentó Publimetro México con base en un análisis realizado por el investigador en ciberseguridad Germán Fernández, es que los cibercriminales están utilizando técnicas novedosas que hacen prácticamente invisible la intrusión para la mayoría de los antivirus.

Paso a paso del modus operandi de la Botnet Fenix

1. Recepción del mensaje SMS falso:

La víctima recibe un SMS que aparenta ser del SAT, indicando que hay un archivo PDF importante para descargar. Este mensaje es el anzuelo para hacer clic en un enlace malicioso.

SMS.
SMS. La víctima potencial recibe un mensaje falso de alerta del SAT.

2. Apertura del supuesto PDF:

Al hacer clic en el enlace, en lugar de abrirse un archivo PDF, se despliega una página HTML que simula un documento en formato PDF. Este sitio muestra un error falso, que indica que el archivo no se puede ver correctamente.

3. Instrucciones para “solucionar” el problema:

La página muestra un botón de “Solucionar” que, al ser presionado, copia automáticamente un código malicioso en el portapapeles de la víctima sin que esta lo note.

Falso PDF.
Falso PDF. Al hacer clic se copia un código malicioso al portapapeles.

4. Ejecución de comandos:

A continuación, el sitio pide a la víctima que presione Windows + R (comando que abre el cuadro de ejecución en Windows). Luego, se le indica que pegue el contenido copiado al portapapeles (el código malicioso) en esta ventana de comandos y que presione Enter.

Instalación.
Instalación. Al ejecutar el comando, se abre una pantalla. El usuario copia el código malicioso y lo instala al dar Enter.

5. Activación del malware:

Al seguir estas instrucciones, la víctima ejecuta el código, permitiendo que el malware se instale en su dispositivo. Este malware, identificado como Narnia RAT, da acceso remoto a los atacantes y les permite robar información bancaria y otros datos personales.

6. Persistencia del ataque:

Para evitar la detección y asegurar su presencia, el malware también instala un programa llamado Remote Utilities, que permite que los atacantes mantengan el control del dispositivo incluso si el malware principal es eliminado por algún antivirus.

Remote Utilities.
Remote Utilities. Al ser un software benigno, no es detectado por los antivirus.

7. Robo de credenciales bancarias:

Finalmente, el malware comienza a monitorear la actividad del usuario, buscando credenciales bancarias y otros datos sensibles de aplicaciones financieras como Banamex, BBVA, Santander, entre otros. Estos datos se envían a los atacantes, quienes pueden utilizarlos para realizar transacciones no autorizadas.

Bancos.
Bancos. La campaña está dirigida a cuentahabientes de diversas instituciones bancarias.

Este paso a paso revela cómo la Botnet Fenix utiliza la ingeniería social para engañar a los usuarios, aprovechando la confianza en entidades como el SAT. Mantente alerta, no abras enlaces sospechosos, y revisa siempre la autenticidad de los mensajes que recibes, especialmente aquellos que solicitan descargar archivos o ejecutar comandos en tu dispositivo.

DV Player placeholder

Tags


Lo Último