Infranus es un software espía (spyware) que ha evolucionado rápidamente hasta convertirse en un código malicioso con características de troyano bancario. Fue identificado como “MSIL/Infranus.A” en octubre de 2023 y tuvo un aumento significativo de actividad entre junio y agosto de 2024 en México, según la empresa de ciberseguridad ESET.
El código malicioso suplanta a entidades bancarias con presencia en México y crea una pantalla de bloqueo o una ventana para que la víctima ingrese información sensible.
Estos son los bancos por los que Infranus se hace pasar, de acuerdo con el reporte publicado en “Welivesecurity” el pasado jueves 26 de septiembre:
- Scotiabank
- BanBajio
- Citibanamex
- BBVA
- Vepormas
- Santander
- Afirme
- Banregio
Además de modificar el contenido del portapapeles o clipboard de la víctima, también envía información de la máquina de la víctima hacia un servidor controlado por los cibercriminales, incluyendo:
- Nombre del equipo y nombre del usuario
- Nombre del sistema operativo
- ID de la víctima
Infranus no sólo roba y distribuye esta información, sino que también permite ejecutar las siguientes acciones maliciosas, de acuerdo con ESET:
- Activar o Desactivar el administrador de Tareas de Windows manipulando los registros de Windows
- Activar o Desactivar la opción de Restaurar el Sistema de Windows manipulando los registros de Windows
- Activar o Desactivar la consola de comandos de Windows manipulando los registros de Windows
- Reiniciar la máquina de la víctima
- Bloquear el mouse y el teclado de la máquina de la víctima por medio de la API de Windows BlockInput
- Realizar capturas de pantalla de la máquina de la víctima
- Obtener la resolución utilizada en la máquina de la víctima
- Mover el cursor del mouse de la máquina de la víctima
- Pulsar teclas del teclado de la víctima
- Apagar/Prender el monitor de la máquina de la víctima
- Desinstalar el código malicioso de la máquina de la víctima
- Cerrar la sesión activa de Windows de la máquina de la víctima
- Enviar al servidor malicioso, la información contenida de un archivo llamado Dbg2.txt
Una característica interesante de este código malicioso, es que el mismo no posee las imágenes que son utilizadas para impersonar las diferentes entidades bancarias, sino que las mismas están alojadas en internet y solo descarga aquella imagen que vaya a utilizar.
Con información de UNO TV