El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky Lab ha detectado una nueva tendencia en varias campañas maliciosas de origen brasilero que difunden componentes «banloader» utilizados para instalar troyanos bancarios en las máquinas de sus víctimas: el banloader está en formato JAR (Archivo Java), lo que significa que el troyano bancario tiene el potencial de ejecutarse en diferentes plataformas, como Linux, OS X y Windows y, en algunos casos, en dispositivos móviles.
Los ataques se distribuyen por medio de la ingeniería social, utilizando como gancho diversos asuntos, como impuestos a la propiedad, licencias o multas de tráfico. Los mensajes contienen enlaces maliciosos que bajan el archivo JAR, o incluyen el malware dentro de un archivo adjunto, como ZIP o RAR, por ejemplo.
Debido a que los cibercriminales brasileños están entre los más astutos en crear mensajes falsos utilizando la ingeniería social, la probabilidad de que los destinatarios hagan clic en el enlace malicioso es alta. Lo que sucede después dependerá del grupo criminal que lanzó el ataque.
«Hemos identificado diferentes grupos de ciberdelincuentes brasileños que utilizan este componente JAR para instalar el malware bancario», dijo Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis en América Latina. «Algunos grupos seguirán la ruta más fácil, que es abusar de la configuración del PAC de los navegadores de la víctima y redirigirla a páginas falsas cuando tratan de visitar sitios bancarios. Otros irán por algo más grande: instalar en el sistema troyanos bancarios con mayor capacidad de espionaje. De cualquier manera, una vez que la víctima haga clic en el enlace malicioso, el malware bajará programas que le roban su dinero».