Este malware se propaga por toda la región, principalmente en México, a través de archivos adjuntos comprimidos en correos electrónicos que parecen provenir de instituciones financieras acreditadas. Ves palabras en tu código. Nombres variables y reemplazos en portugués, lo que demuestra que este tipo de amenazas son transnacionales.

Esta amenaza tiene la capacidad de detectar visualmente cuando el usuario se encuentra en un sitio financiero, encontrando patrones comunes en este tipo de sitios web. SOL (Modelo de objetos de documento) cambios cómo se ve y funciona el sitio sin que el usuario se dé cuenta. De este modo, Presenta formas apócrifas con la apariencia real. Toda la información introducida en estos formularios es redirigida a un servidor controlado por ciberdelincuentes.

Además, este malware es capaz de sustituir los datos de criptomonedas y billetera bancaria del usuario por los de los ciberdelincuentes, lo que permitiría redirigir los fondos a los atacantes.

“Estamos tratando con un ladrón de información que es capaz de robar información confidencial de una víctima cuando esta completa un formulario en un sitio web. Con la capacidad de cambiar la billetera de la víctima y otros detalles de pago, esto es una evidencia clara de que los ciberdelincuentes buscan ganancias financieras”. El“La amenaza traspasa fronteras y explota la reputación de las instituciones financieras de toda la región”,dodice Mario Micucci, investigador de seguridad informática de ESET Latinoamérica.

Durante la fase de análisis, el equipo de ESET descubrió que esta muestra se propagó por todo México a través de archivos adjuntos comprimidos enviados por correo electrónico. También Se encontraron dos archivos JavaScript en la extensión maliciosa que pueden robar datos confidenciales, manipular sitios web visualmente y reenviar información a servidores de Comando y Control (C2).

Al analizar el fichero se detecta manipulación visual de las páginas bancarias. ESET ha encontrado patrones comunes en páginas relacionadas con banca o pagos como “CPF”, “CNPJ”, “Value” que cambian esto SOL para engañar al usuario. Esto incluye reemplazar datos reales con datos controlados por atacantes.. Por ejemplo, escanea el contenido de la página y busca patrones de texto relacionados con depósitos bancarios (epósito, CPF, Valor). Si se descubre que la página contiene términos como “depósito”, “CPF/CNPJ” y “alor” (probablemente parte de “Valor”), inserta lógica maliciosa.

“Durante el análisis, notamos que se trataba de la extensión maliciosa de Internet de Google Chrome.persiste en el ordenador de la víctima. Los ejemplos que contienen la extensión funcionan de forma sincrónica. Mientras uno recopila datos confidenciales, el otro manipula el entorno visual del usuario para engañar o redirigir las transmisiones. Todas las interacciones se redirigen a dominios maliciosos comunes. “Es importante mencionar que esta persistencia afecta al navegador afectado, específicamente que el malware se ejecuta cada vez que es utilizado por la víctima”. explica Micucci de ESET Latinoamérica.

Él El uso de capacidades avanzadas de manipulación visual, dirigidas principalmente a usuarios del entorno financiero, así como su arquitectura modular y técnicas de evasión requieren la implementación de medidas específicas para lograr su detección. ESET recuerda que antes de instalar una aplicación es muy importante comprobar las extensiones instaladas en los sistemas y asegurarse de que las fuentes sean fiables.