Relación entre dominios falsos, phishing, troyanos y otras yerbas

Como parte de nuestra investigación a los dominios involucrados en el último Phishing al Premio Mastercard en donde se vieron distintos sitios gubernamentales de Colombia, hemos hallado dos interesantes dominios involucrados y que es probable que formen parte de otra estafa de los mismos autores, si bien resulta difícil probar esta relación.

En el código fuente de uno de los troyanos analizados en la última semana con Phishing a Argentina y Perú, se puede ver la siguiente URL:

Al ingresar a esta URL de un sitio colombiano, se redirige al usuario al dominio:
http://ganar-dienro-[ELIMINADO].ws/ (notar el error ortográfico) que aloja el siguiente contenido, perteneciente a un archivo hosts modificado (seguramente este contenido cambiará en las próximas horas) y que es utilizado para modificar el DNS local del sistema infectado:

Este dominio tiene los siguientes datos de registro:

En cambio, si se ingresa al dominio correctamente escrito, se puede ver lo siguiente, algo muy parecido a lo analizado para las promociones de trabajo falsas:

Ahora, las preguntas lógicas que aparecen son ¿qué relación existe entre los dos dominios utilizados por el troyano y el sitio de trabajo? ¿Pertenecen al mismo registrante y, en ese caso, ese es el correo del responsable de los troyanos?

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín