Los criminales bancarios brasileños apuestan alto: ahora utilizan archivos de Office maliciosos

Los cibercriminales brasileños están apostando por un nuevo truco, que consiste en enviar mensajes a los usuarios con un archivo adjunto llamado “Comprovante_Internet_Banking.rtf", que en portugués significa "Comprobante de actividades bancarias en Internet":

Si el usuario abre el archivo, encontrará una imagen del recibo bancario y una invitación para pulsar en ella (el texto de abajo dice "pulse dos veces para agrandar la imagen").

Cuando el usuario pulsa en el objeto incrustado, se le pide que lo ejecute. Esto abre un archivo CPL que inicia el proceso de infección.

El formato .RTF y algunos editores de textos permiten que se inserten objetos de archivos dentro de los documentos; hasta se pueden incorporar archivos ejecutables:

El archivo .RTF tiene dos bloques de datos binarios:

• tamaño de objeto 223753 en índice 000000D5
• tamaño de objeto 15744 en índice 00070215

Uno de ellos revela la ruta que el cibercriminal usó para crear la imagen, que indica que se utilizó un ordenador Acer Aspire-4520:

El archivo .CPL (MD5: 563707b4edcc0bb0c88365a6702d4ba0) incorporado en el archivo RTF es un conocido troyano bancario brasileño escrito en Delphi que pertenece a la familia Trojan.Win32.ChePro. Después de ejecutarse, deja varios archivos en el sistema para mantener la infección activa. Al incorporar los archivos maliciosos en archivos RTF o DOC, los cibercriminales pueden burlar los filtros de correo que seleccionan extensiones o tipos de archivos; también pueden evadir la detección por firma de los programas antivirus.

Sin duda esta técnica comenzará a expandirse en Brasil de ahora en adelante.