Alertan por Infranus en México: troyano bancario se hace pasar por 8 bancos; ve cuáles
Infranus es un software espía (spyware) que ha evolucionado rápidamente hasta convertirse en un código malicioso con características de troyano bancario. Fue identificado como “MSIL/Infranus.A” en octubre de 2023 y tuvo un aumento significativo de actividad entre junio y agosto de 2024 en México, según la empresa de ciberseguridad ESET.
[TE RECOMENDAMOS: Virus bancarios atacan a clientes de estos bancos. ¡Ten cuidado!]
¡Infranus se hace pasar por estos bancos!
El código malicioso suplanta a entidades bancarias con presencia en México y crea una pantalla de bloqueo o una ventana para que la víctima ingrese información sensible.
Estos son los bancos por los que Infranus se hace pasar, de acuerdo con el reporte publicado en “Welivesecurity” el pasado jueves 26 de septiembre:
- Scotiabank
- BanBajio
- Citibanamex
- BBVA
- Vepormas
- Santander
- Afirme
- Banregio
Además de modificar el contenido del portapapeles o clipboard de la víctima, también envía información de la máquina de la víctima hacia un servidor controlado por los cibercriminales, incluyendo:
- Nombre del equipo y nombre del usuario
- Nombre del sistema operativo
- ID de la víctima
Infranus no sólo roba y distribuye esta información, sino que también permite ejecutar las siguientes acciones maliciosas, de acuerdo con ESET:
- Activar o Desactivar el administrador de Tareas de Windows manipulando los registros de Windows
- Activar o Desactivar la opción de Restaurar el Sistema de Windows manipulando los registros de Windows
- Activar o Desactivar la consola de comandos de Windows manipulando los registros de Windows
- Reiniciar la máquina de la víctima
- Bloquear el mouse y el teclado de la máquina de la víctima por medio de la API de Windows BlockInput
- Realizar capturas de pantalla de la máquina de la víctima
- Obtener la resolución utilizada en la máquina de la víctima
- Mover el cursor del mouse de la máquina de la víctima
- Pulsar teclas del teclado de la víctima
- Apagar/Prender el monitor de la máquina de la víctima
- Desinstalar el código malicioso de la máquina de la víctima
- Cerrar la sesión activa de Windows de la máquina de la víctima
- Enviar al servidor malicioso, la información contenida de un archivo llamado Dbg2.txt
Una característica interesante de este código malicioso, es que el mismo no posee las imágenes que son utilizadas para impersonar las diferentes entidades bancarias, sino que las mismas están alojadas en internet y solo descarga aquella imagen que vaya a utilizar.
[TE PODRÍA INTERESAR: “Coyote”, el nuevo virus bancario que puede robar tus datos financieros]
¡Cuídate de los efectos maliciosos de Infranus!
Los cibercriminales podrían estar enviando correos electrónicos engañosos como técnica de acceso inicial, según los expertos de ESET, basados en que los rubros de las víctimas no guardan relación.
“La gran mayoría de las víctimas son residentes de México y pertenecen al rubro de construcción, educación, venta de autopartes, aunque hay indicios de que también afectó a usuarios hogareños”.
ESET
Estos atacantes podrían ser lusoparlantes, pues algunas cadenas del código malicioso están escritas en portugués. Cabe destacar que los atacantes vulneran principalmente a víctimas hispanohablantes.
Aún no se ha alcanzado una versión estable del código malicioso y las variaciones dependen del tipo de información sensible que buscan extraer, como cuentas de Google, según los especialistas.
“Las distintas versiones en poco tiempo que se han visto nos muestran que los cibercriminales están determinados en encontrar un código malicioso que pueda cumplir con sus expectativas”.
ESET
Podrían aparecer nuevas versiones en el tiempo o los cibercriminales podrían utilizar técnicas más complejas de ofuscación para evadir soluciones de seguridad o dificultar el trabajo de un analista.
Los expertos de ESET señalaron en el espacio de “Welivesecurity” que dicho agente malicioso cuenta con una fuerte presencia en México.
¿Cómo opera el código malicioso de Infranus?
Infranus cuenta con características de spyware y troyano bancario, incluyendo la capacidad de modificar el contenido del portapapeles de la víctima e impersonar entidades bancarias de México.
Posteriormente, la información robada es enviada hacia un servidor controlado por los cibercriminales, según el reporte de ESET.
Este agente malicioso presenta una leve ofuscación con la herramienta Eazfuscator, que dificulta el análisis del código y una detección de seguridad.
Al ejecutarse, este código malicioso comienza con la creación de un Mutex (algoritmo de exclusión mutua) llamado “NopDups5”, que es utilizado para evitar que Infranus se ejecute múltiples veces de forma simultánea.
Luego, procede a obtener el número de serie del disco de la máquina de la víctima. “Creemos que es utilizado por los cibercriminales para identificar a sus víctimas”, señalan los expertos de ESET.
A su vez, ese identificador es utilizado en una solicitud HTTP hacia un servidor controlado por los cibercriminales. Acto seguido, comienza con la inicialización de diferentes variables y componentes utilizadas para:
- Establecer comunicación contra un servidor controlado por los cibercriminales.
- Punteros a objetos para hookearse o engancharse al teclado de la víctima.
- Valores booleanos para por ejemplo, controlar el mouse o teclado de la víctima.
El código malicioso es capaz de crear botones, títulos de texto y ventanas emergentes. A su vez, crea cinco temporizadores.
El uso de los temporizadores le permite a Infranus mantener una ejecución en la máquina de la víctima comunicándose activamente contra el servidor malicioso y esperando que la víctima navegue o visite una página web que sea del interés de los cibercriminales.
Algunas de las palabras utilizadas por el código malicioso que son de su interés son nombres o variaciones de bancos mexicanos:
- Banamex
- Citibanamex
- Santander M
- Banca Santander
- HSBC G
- Scotiabank M
- SEL – Scotia en L
- Afirme
- BajioNet
- CIBanco
- MIFEL
- Multiva
- Bitso
- BBVA M
Al establecer comunicación hacia el servidor malicioso, Infranus recibe información del servidor y realiza acciones maliciosas en la máquina de la víctima.
“Con base en la información recibida desde el servidor malicioso y el resultado de la funcionalidad, el código malicioso determina que acción debe ejecutarse”, de acuerdo con ESET.
