Kaspersky Lab acaba de identificar una campa\u00f1a de malware bancario utilizando el m\u00e9todo BOM para burlar los esc\u00e1neres de correo electr\u00f3nico e infectar a las v\u00edctimas. Es la primera vez que esta t\u00e9cnica se utiliza en la regi\u00f3n, y est\u00e1 dirigida especialmente a usuarios en Brasil y Chile. Los usuarios de los productos de Kaspersky Lab est\u00e1n protegidos de este ataque.<\/strong><\/p>\n\n\n\n Primero utilizada por criminales rusos para distribuir malware en sistemas Windows, esta t\u00e9cnica fue descubierta en 2013<\/a> y consiste en a\u00f1adir el prefijo BOM (Byte Order Mark) para evitar la detecci\u00f3n de algunos tipos de archivo. La campa\u00f1a depende casi enteramente de ataques estilo spear-phishing<\/em> para aumentar el n\u00famero de v\u00edctimas. El desaf\u00edo es burlar a los analizadores de correo electr\u00f3nico y usar un archivo aparentemente corrupto, pero infectado, para llegar a la bandeja de entrada de la v\u00edctima.<\/p>\n\n\n\n El primer indicador aparece cuando el usuario intenta abrir el archivo ZIP con el explorador predeterminado de archivos y obtiene el siguiente error:<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Al intentar abrir el archivo comprimido utilizando el visor predeterminado del Explorador de Windows, el usuario ver\u00e1 un mensaje de error que indica que est\u00e1 da\u00f1ado. Al analizarlo, los expertos de Kaspersky Lab percibieron que el encabezado ZIP contiene tres bytes adicionales (0xEFBBBF), que representan el BOM, antes de la firma “PK” (0x504B), el est\u00e1ndar del ZIP. El BOM usualmente se encuentra en archivos de texto con codificaci\u00f3n UTF-8. El punto es que algunas herramientas no reconocen este archivo como un ZIP, sino que lo identificar\u00e1n como un archivo de texto y no podr\u00e1n abrirlo.Algunas utilidades como WinRAR y 7-Zip simplemente ignoran el prefijo y extraen su contenido correctamente. Una vez que el usuario extrae el archivo con cualquiera de estas utilidades, este se ejecuta e infecta el sistema. <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Despu\u00e9s de ejecutar una secuencia de procesos que buscan evitar la detecci\u00f3n de las acciones maliciosas, se descarga el malware principal: variantes de un malware bancario con funciones de RAT<\/a> que queda latente en el equipo de la v\u00edctima hasta cuando el usuario intente acceder a su banca por Internet. En ese momento, comenzar\u00e1 a capturar tokens<\/em>, c\u00f3digo de acceso, fecha de cumplea\u00f1os, contrase\u00f1a de acceso, entre otras formas de autenticaci\u00f3n bancaria.<\/p>\n\n\n\n “Identificamos una campa\u00f1a maliciosa que utiliza el m\u00e9todo BOM contra usuarios de banca brasile\u00f1os y chilenos. Es com\u00fan que los cibercriminales intenten distintas formas de atacar a sus objetivos, mientras pasan inadvertidos, pero en este caso recurrieron a un m\u00e9todo que data de hace a\u00f1os. \u00danicamente aquellos usuarios que cuentan con una soluci\u00f3n de seguridad robusta est\u00e1n a salvo\u201d, <\/em>afirma Santiago Pontiroli, analista de seguridad de Kaspersky Lab. <\/strong><\/p>\n\n\n\n![\"\"](\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/04\/Syspertec_KasperskyLab_1.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/04\/Syspertec_KasperskyLab_2.png\")
<\/figure><\/div>\n\n\n\n