Una nueva oleada de malware en busca de credenciales bancarios afecta al Banco de España
El Banco de España tuvo que solucionar la pasada semana un ataque informático que intentaba engañar a los internautas españoles para que descargaran un archivo que en realidad era un troyano Zbot desde la web de la entidad financiera.
Ya solucionado, el ataque contra el Banco de España buscaba instalar Zbot en los equipos de los españoles utilizando una página falsa alojada en un servidor ruso, que apareció y desapareció rápidamente, pero que permaneció el tiempo suficiente como para que el equipo de investigación de Webroot, cuyo investigador en seguridad Andrew Brandt describe el ataque en su blog, “pudiera investigar a fondo y salir con una buena ración de malware”.
La dirección URL de la página contenía algunos caracteres propios de la entidad financiera, pero era un clon de otras páginas falsas de bancos utilizadas para introducir el troyano Zbot en los equipos de las víctimas y robar sus credenciales. Para ello, se animaba a la víctima a descargar y abrir un estadillo financiero llamado declaracion.exe que resultaba ser un instalador de Zbot. Una vez infectado el usuario, el keylogger descargaba instrucciones de otro dominio web ruso diferente y esperaba a que el usuario se registrara en su cuenta bancaria u otra página web.
De acuerdo con Brandt, este incidente puede ser signo del resurgimiento de una oleada de ataques acontecida a lo largo de 2009 en la que los hackers intentaban “convencer a los crédulos usuarios de Internet de diferentes países para descargar y ejecutar instaladores Zbot que escasamente se diferenciaban del registro de una transacción o de otros documentos financieros importantes”.
En anteriores campañas, páginas como la de Visa, Bank of America o la American Bankers Association se vieron comprometidas.
