Troyano URSA amenaza múltiples países en el panorama sudamericano

Desde comienzos del segundo semestre, una nueva campaña de infecciones con el troyano URSA, una variante de Mispadu, está afectando a usuarios en múltiples países, incluidos Bolivia, Chile, México, Argentina, Ecuador, Colombia, Paraguay, Costa Rica, Brasil, España, Italia y Portugal. 

Fuente: https://seguranca-informatica.pt

Troyano URSA

URSA es un malware relativamente reciente y cuyo objetivo es el robo de credenciales bancarias a través de navegadores, software de uso generalizado como FTP, servicios de email, y también a través de la superposición de falsos portales bancarios en los que la víctima introduciría sus credenciales bancarias. 

Este troyano se distribuye a través de campañas de phishing o malspam suplantando a diversas entidades. Por ejemplo, en Portugal ha suplantado recientemente a Vodafone, EDP (Energias de Portugal), MEO (Serviços de Comunicações e Multimédia, S.A) y Policía Judiciaria. Durante esta actividad, URSA ha impactado a 3.379 usuarios, según los datos obtenidos de algunos servidores Command & Control identificados en esta oleada de ataques, aunque es posible que el número de infecciones haya sido mucho mayor. El país con mayor afectación ha sido México (1.977 infecciones), seguido de España (631), Portugal (514) y Chile (331).

Cómo se propaga el troyano URSA

El malware URSA es un troyano que tiene como objetivo robar las credenciales de las máquinas de las víctimas y crear ventanas superpuestas bancarias cuando la víctima visita sus portales bancarios. URSA se propaga a través de esquemas de ingeniería social, es decir, campañas de phishing / malspam. 

El mensaje de correo electrónico generalmente se refiere a facturas vencidas, el señuelo, para atraer a la víctima a descargar el archivo malicioso (un archivo .zip descargado de Internet). Estos correos electrónicos se envían a menudo entre el final y el comienzo de cada mes.

Análisis 

Según el experto en ciberseguridad, Pedro Tavares (descubridor del malware) a primera vista, el archivo descargado a través de la URL maliciosa enviada por el ciberdelincuente en la estafa por correo electrónico, es un archivo zip con un MSI (Microsoft Installer) en su interior.

 Al analizar el archivo MSI, es posible observar:

• Contiene otro archivo disponible en el interior que al parecer se elimina cuando se ejecuta el MSI.
• Ese archivo de extensión *.vbs es un archivo VBscript responsable de cargar y ejecutar una serie de funciones.
• Además, el archivo tiene una tasa de detección baja.
• URSA tiene diversos droppers: Un VBScript seguido de varias rondas de ofuscación y rabbit holes.
• El VBScript final es responsable de iniciar y colocar los archivos en el disco y de ejecutar un payload, AutoIt.
• Ese binario inyecta en la memoria a través de la técnica de Process Injection algunas DLL, incluido un binario Delphi relacionado con las ventanas superpuestas bancarias.

Panorama

Con URSA ya son varios los troyanos con origen en Latinoamérica que han dado el salto a otros países fuera de su región como es el caso de España, México y Portugal. El análisis de otras familias de malware similar como Grandoreiro o Mekotio demuestran que los delincuentes hace meses que añadieron a usuarios españoles y de otras nacionalidades entre sus principales objetivos.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.