Blog Laboratorio Hispasec

Este es un perfecto ejemplo de cómo el programar malware con prisas termina por hacer que se creen especímenes cutres. Y no hablo ya de errores en programación, donde el propio agotamiento de quien crea decenas de nuevas muestras al día se hace patente en mucho malware analizado... En este ejemplo destaca un simple despiste tonto a la hora de capturar las imágenes que formarán parte de la estafa.

Este espécimen pertenece a la familia de los Delephant. Recibimos decenas de ellos en VirusTotal a diario, y afectan a una gran cantidad de bancos españoles, latinoamericanos y brasileños sobre todo. Esta variedad consiste en una aplicación que simula ser el navegador, y que se activa mientras cierra la ventana del verdadero Internet Explorer cuando el usuario visita la página del banco. Aunque es una simulación muy buena, está lejos de ser perfecta. Por ejemplo, pulsar en el 'candadito' para ver el certificado SSL no resulta en ninguna acción, puesto que toda la ventana no es más que una recreación del navegador, en ningún caso el Internet Explorer verdadero. Por supuesto, las contraseñas ahí introducidas viajarán por correo al atacante.

El caso es que este programador ha tomado una captura de pantalla de una de las páginas corporativas de la entidad para darle realismo... y ha incluido sin querer el menú contextual que aparece en Windows cuando se deja el cursor sobre la propia imagen en el visor estándar. Lo rodeado por el círculo rojo, simplemente no debería estar ahí, al creador del bicho se le ha colado de soslayo en la captura. Es que no se puede crear malware con prisas.