Engañan con falso correo de WhatsApp a usuarios y roban datos bancarios con un 'troyano'

Con un correo falso, que suplanta la identidad de WhatsApp, envían un 'troyano' que se encarga de robar datos bancarios de los usuarios, que se infectan, la información fue revelada por expertos cibernéticos. 

Según detalla un comunicado de ESET, el mensaje incluye un archivo adjunto nombrado "Open_Document_513069.html”. Se trata de un archivo HTML que contiene una URL acortada mediante el servicio bitly, que viene infectado. 

Según un análisis realizado en el laboratorio de ESET del HTML adjunto, al hacer clic redirecciona a un sitio desde el cual se descarga un archivo .zip. Ese archivo comprimido contiene un instalador MSI que descarga la amenaza, el troyano bancario Grandoreiro. Si el usuario ejecuta el archivo descargado, probablemente el equipo haya sido infectado con el malware.

Otros troyanos bancarios, cuentan con funcionalidades de backdoor que le permiten al atacante realizar otras acciones maliciosas en el equipo comprometido, como registras las pulsaciones de teclado (keylogging), simular acciones de mouse y teclado, cerrar sesión de la víctima, bloquear el acceso a ciertos sitios o incluso reiniciar el equipo, por nombrar algunas de sus capacidades.

De acuerdo con los datos de la telemetría de ESET, los registros de los últimos 90 días para la misma variante de Grandoreiro detectada en esta campaña que suplanta la identidad de WhatsApp muestran actividad del troyano en España principalmente, pero también en México y Brasil. 

Desde el sitio de la Oficina de Seguridad del Internauta no descartan que existan otros correos en circulación con asuntos diferentes. De hecho, en marzo de este año estuvo circulando en España una campaña de phishing de similares características en la cual se suplantaba la identidad de WhatsApp utilizando la misma excusa, y también hay registros de una campaña similar en 2020.