Dmitry Bestuzhev y Santiago Pontiroli, expertos de Kaspersky Lab., publicaron en el blog de la Compañía un análisis de un mensaje de spam que incluía una tarjeta electrónica falsa en portugués que contenía un malware muy bien desarrollado cuyo objetivo era robar el dinero de las víctimas.
El desarrollador del malware preparó 2 enlaces diferentes: uno de ellos está siendo hospedado en un servidor de actividades cibercriminales y el otro está ubicado en una página web legítima de una compañía en Brasil que fue hackeada.
Los archivos están cifrados y no pueden ser ejecutados si se bajan directamente del servidor.
Cuando el Banloader inicial es ejecutado, trata de lanzar Mozilla Firefox desde la línea de comando, mostrando una página de actualización de Java legítima. Disfrazado como una actualización de aplicación regular, este ejecuta varios comandos de la línea de procesos y crea copias en el sistema para hacer la labor de limpieza de este mucho más complicada.
El Banloader inicial descarga y ejecuta el anti-rootkit The Avenger para eliminar algunos productos de AV del sistema recientemente infectado.
El origen de esta amenaza posiblemente sea Brasil. Hemos encontrado pistas que indican que a este criminal le gustan los juegos en línea. Además, un perfil idéntico apareció el mismo día en bit.ly con 7 URLs diferentes. Juzgando por la hora que los publicó, parece corresponder con las horas normales de un día laboral, ya que la actividad empezó a las 9 am y terminó alrededor de las 2 pm. Esto significa que su trabajo principal es crear código malicioso, infectar las máquinas de sus víctimas y robarles su dinero.
Un dato interesante es que la imagen de Santa Claus embebida en el correo original también es un enlace corto vía bit.ly que apunta a una página web gubernamental legítima de Brasil. Las estadísticas del bit.ly muestran que ha recibido más de 5707 clics para aquel entonces. En realidad, estos no son clics reales pero las previsualizaciones de víctimas potenciales vía proveedores de servicios de correo electrónico. Si el correo es configurado a mostrar imágenes externas en el cuerpo del correo, este abrirá el enlace original de la url bit.ly produciendo un clic para el contador.
Hemos visto que el número total de personas que hicieron clic en la tarjeta electrónica falsa es de 1247, mientras el número total de clics en la imagen de Santa es de 5707. Esto significa que el 21.8% de las personas son muy susceptibles a ataques de ingeniería social mientras otros son más cautelosos.
