La presencia de los troyanos bancarios en Internet este año es sin duda la más significativa con diferencia. En un principio los creadores de este tipo de software buscaban robar la mayor cantidad de datos posibles pero esto ya no es así. Un nuevo troyano amenaza a los usuarios bajo el nombre de EMOTET, extendiéndose de forma rápida gracias a su presencia en correos electrónicos en forma de archivo adjunto
En el día de ayer os hablábamos de un spam de RBS que contenía un virus en un archivo comprimido. Este ejemplo nos podría valer para ilustrar cómo se extiende este troyano bancario. Sí que es verdad que a diferencia del correo spam al que hemos hecho referencia este utiliza un gran cantidad de temas bancarios relacionados con varios servicios, haciendo creer al usuario que han realizado una compra no autorizada con su cuenta de PayPal, Google Play, App Store o de cualquier otro servicio.
La forma de infectar el equipo es provocando que el usuario se descargue un archivo comprimido en el que a priori se encuentran los detalles de la compra realizada. Sin embargo, cuando el usuario intenta abrir el archivo ve como no sucede nada, ni siquiera se abre el lector de archivos PDF.
EMOTET es capaz de suplantar los principales bancos europeos
Cuando un usuario ejecuta el archivo el malware comienza el proceso de instalación en segundo plano descargando los componentes y librerías necesarias. Estas librerías serán capaces de suplantar la identidad de muchos bancos europeos cuando el usuario trate de acceder a ellos. Esto provoca que los ciberdelincuentes sean capaces de obtener los datos de acceso a los servicios de banca en línea haciendo creer al usuario que continúa en el sitio web legítimo de su entidad bancaria, ya que en la barra de direcciones continúa apareciendo HTTPS.
Sin embargo, estos no se se percatan de las diferencias que posee la dirección web que utiliza el malware con respecto a la dirección web del sitio real. Y es que con un vistazo rápido resulta complicado ya que los ciberdelincuentes añaden o eliminan una letra con respecto a la dirección original.
Teniendo en cuenta esto y que el usuario considera que se encuentra en un sitio web de confianza (o eso cree) se dispone a introducir los datos de acceso. Cuando el usuario pulsa para iniciar sesión en su cuenta la página se queda en blanco creando la sensación de no estar funcionando. Sin embargo, los datos ya han sido capturados por el malware y almacenados en un servidor.
Países que están afectados
Por el momento los únicos países que han reportado algún caso relacionado con este troyano bancario son Reino Unido, Francia, Italia, Alemania y Polonia. Según expertos en seguridad el troyano únicamente habría estado en funcionamiento desde hace una semana esperándose durante las próximas un crecimiento de la actividad de esta amenaza y que además se extienda a otros países europeos.