En esta ocasión, los
ciberdelincuentes se han ayudado de los incidentes que se han dado en la ciudad
estadounidense de Ferguson para enviar un correo electrónico a los usuario y
hacerles creer que el enlace contenido en su lleva a la página web de la CNN, sin
embargo, sirve para que los usuarios realicen la descarga de un virus.
En
concreto, el troyano que se está distribuyendo es una variante de Dyreza, un
malware destinado al robo de los credenciales de servicios de banca en línea.
Para los usuarios europeos no resulta tan desconocido, ya que en muchas
ocasiones se ha utilizado contra los usuarios Suizos o de países nórdicos.
Este troyano es capaz de saltarse el cifrado
SSL. La explicación es muy sencilla, una vez que este ha llegado al equipo de
los usuarios, comprueba el historial de navegación del usuario y localiza las
páginas de las entidades bancarias, permitiendo a los ciberdelincuentes desviar
la navegación hacia páginas falsas gestonadas por ellos, provocando que al
introducir los usuarios sus datos de inicio de sesión estos se envían
inmediatamente al servidor de los ciberdelincuentes.
Se
utilizan varios nombres a la hora de distribuir el ejecutable
- Para dar mayor credibilidad al
correo electrónico, este se firma utilizando una importante abogacía
estadounidense, dando mucho más veracidad a la denuncia de la situación que
se hace a lo largo del cuerpo del correo.
- A la hora de acceder al enlace
de la CNN comienza la descarga de un archivo ejecutable, que muchos se lo
tomarán como un documento de texto o multimedia donde se podrá visualizar
lo que se hace referencia en el cuerpo del mensaje. ybwbh.exe o
file-7765943_exe son dos de los títulos que se toman para distribuir el
virus entre los usuarios.
- Los expertos en seguridad
afirman que esta campaña de spam no va a durar más de tres semanas y es
probable que se prolongue durante las fechas navideñas por la cantidad de
compras que los usuarios realizan.