El enlace adjunto redirige a los usuarios a un dominio registrado el mismo 11 de agosto. No obstante, la información enviada por el whois menciona que el país donde el registro se presentó es Brasil, un indicio de la identidad de los actores de amenazas.

En la investigación, llevada a cabo por los investigadores de ESET, también se ha identificado al troyano bancario Mekotio distribuido de forma similar.

EJECUCIÓN DEL MALWARE

La cadena de infección es prácticamente idéntica a la de otros troyanos bancarios, mencionan los expertos en seguridad en la nube. Para comenzar, los hackers colocan el archivo malicioso en un dominio comprometido o usando servicios de almacenamiento como Dropbox.

La carga útil ZIP contiene un archivo MSI y un GIF. También debe tenerse en cuenta que el nombre del archivo ZIP tiene el código de país “ES” al final.

Las soluciones de seguridad de ESET detectan este archivo MSI como una variante de Win32/TrojanDownloader.Delf.CYA, un downloader malicioso responsable de introducir otras variantes de malware en el sistema objetivo.

Es importante que los contribuyentes en España traten de permanecer alertas ante esta campaña maliciosa, pues es altamente probable que los actores de amenazas sigan enviando estos correos electrónicos de phishing. Aplicar filtros de correo electrónico y soluciones de seguridad siempre será buena opción para mitigar estos ataques.