Como ya hemos mencionado en varias ocasiones, los “ciberdelincuentes” no paran. Esta vez las alertas se han encendido por la nueva variante de un virus troyano, que está afectando principalmente a los usuarios de los bancos y de las criptomonedas, la cual crea formularios falsos para sacar determinada información del usuario.
Esta nueva variante fue denominada como Janeleiro.mx, que fue desarrollado para atacar a los tarjetahabientes de algunos bancos grandes y principales de México, pero también a usuarios y dueños de cuentas de criptomonedas. La misión principal de este virus es extraer contraseñas, códigos, correos electrónicos, credenciales e información confidencial y sensible.
El equipo de seguridad defensiva de la empresa de ciberseguridad MetabaseQ, llamada Ocelot, fue quien levantó las alertas al darse cuenta que se estaba generando una campaña que tenía incorporada esta nueva variante de virus, afectando así a cientos de corporativos, y reportando que habían tenido acceso a su banca en línea y a diferentes cuentas bancarias, sin su autorización.
¿Cómo funciona?
Principalmente, este malware crea formularios falsos de los principales bancos del país como: Santander, Banorte, HSBC, BBVA, Banjío, Scotiabank y Banregio, además de la plataforma de criptomonedas Bitso.
Los formularios se activan a la hora que el usuario quiere entrar en algún portal financiero, mostrando ventanas falsas que dicen ser alertas de seguridad, corroboración de credenciales, de nip, datos del contacto y confirmación de contraseña.
A todos estos atentados, el mencionado equipo de seguridad se dio a la tarea de hacer una investigación, la cual arrojó que existen diferentes sitios que están comprometidos y que alojan a este malware, por ejemplo: el sitio que está descargando este nuevo Janeleiro.mx es morningstarlincoln.co.uk, y está activo desde enero de 2021.
La manera de implantar este malware en los dispositivos de sus víctimas, es a través de correos electrónicos, los cuales descargan el archivo (malware) desde sitios web legítimos, pero que están comprometidos y puede llegar a redireccionar.
Una vez que el malware está instalado en el equipo, espera pacientemente a que el usuario se meta a la página web de su banca en línea, para entonces generar ventanas falsas y simulan ser formularios legítimos de los bancos relacionados.
Todo esto tiene un objetivo simple, y es sacarle a la víctima toda la información posible (si es que el usuario interactúa con las ventanas emergentes, claro) y posteriormente entrar a su banca en línea sin autorización.
Algo importante sobre este virus es que monitorea tu navegador, es decir generará el formulario del banco o plataforma que más visites en determinado tiempo, y cuando logra que la víctima acceda a alguna de estas ventanas, conecta directamente con los delincuentes para poder hacer el formulario de la manera más conveniente y así, poder robar toda la información.
La recomendación que dio la compañía de seguridad es tener mucho cuidado con los correos electrónicos que reciban y verificar si se trata de algún remitente extraño; también aclaró, que si hay dudas se busque ayuda con el banco para evitar más víctimas, porque el número aumenta cada vez más.
