Malware URSA evidenciado con nuevas campañas de malspam y phishing

Se han evidenciado nuevas campañas de spam relacionadas al Troyano Ursa, el cual, como lo hemos informado en anteriores boletines tiene como objetivo diferentes entidades y compañías de países de Europa y América Latina.

Troyano Ursa

El troyano que nació como una variante de Mispadu, hizo sus primeras apariciones a finales de 2019, pero no fue hasta mediados del 2020 que tuvo su mayor peak en campañas bancarias. Se puede diferenciar a Ursa de otros malwares, que atacan a diversos equipos como computadoras o celulares, por dirigirse específicamente a dispositivos de escritorio que ejecutan el sistema operativo Windows.

Ursa suele propagarse por medio de spam, teniendo como principal objetivo el robo de credenciales desde los navegadores web de las víctimas. El phishing es una de las técnicas que utilizan los actores del troyano para que sus víctimas, ingresen sus datos y credenciales bancarias manualmente creyendo que están dentro de páginas legítimas. Por medio de esta acción logran secuestrar sus datos, y si esto no fuese suficiente también tienen la capacidad de obtener datos desde el portapapeles y por medio de una extensión falsa de Google Chrome logran buscar palabras claves como es el “CVV” para obtener información de las tarjetas de crédito de las víctimas.

Diagrama de alto nivel de cómo funciona el troyano URSA

Nuevas Campañas 

Cómo lo abordamos en anterior boletín URSA se propaga a través de esquemas de ingeniería social, es decir, campañas de phishing / malspam. En esta ocasión los ciberactores detrás de estas campañas siguen buscando la propagación de este malware  por medio de mensajes de correo electrónico phishing, suplantando diferentes entidades y compañías de países de Europa y América Latina. Generalmente, los correos contienen información falsa sobre facturas vencidas u otra información, donde solicita a los usuarios realizar la descarga de un archivo “.zip”, a través de una URL maliciosa adjunta en el mensaje de correo electrónico. Al realizar la descarga, la carpeta contiene un archivo de extensión “.msi” y otro archivo “.vbs”, los cuales al ser ejecutados realizan la infección en el equipo. Algunos ejemplos evidenciados recientemente son:

• “Comprobante de pago2858.zip”
• “deposito confirmado202.vbs”
• “comprob-pag216.vbs”

Panorama

URSA es uno de varios troyanos con origen en Latinoamérica que han buscado expandir sus áreas objetivo a otros países fuera de su región, principalmente de habla hispana, como es el caso de España, México y Portugal. Es importante que los usuarios se protejan ante estas amenazas aprendiendo a reconocer los cebos que son utilizados ya que Los ciberactores detrás de este malware llevan mucho tiempo robando credenciales bancarias y parece que el número de víctimas sigue siendo lo suficientemente interesante como para continuar con este tipo de acciones delictivas.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.

• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.