Phishing a distintas entidades mexicanas
En el día de hoy nos han reportado una página web desde donde se puede descargar un troyano del tipo Hosts orientado a suplantar páginas web de distintos bancos y entidades mexicanas.
El troyano se distribuye a través de MSN con distintos mensajes y a través de una URL que simula ser del conocido sitio TarjetasNico.
Como se puede verse en la siguiente imagen, el sitio simula un mensaje del navegador en donde informa de la supuesta instalación de un ActiveX. Si el usuario hace clic sobre ese mensaje falso, se descarga el archivo ActiveX-Controler.exe, que es el troyano mencionado.
Posteriormente al ejecutarlo, el mismo modifica el archivo Hosts del sistema (C:\WINDOWS\system32\drivers\etc\hosts) para lograr que cuando un usuario intente ingresar a cualquier home-banking, ingrese al sitio falso del atacante. Las entidades afectadas se pueden ver a continuación en un archivo Hosts afectado:
Mientras, el troyano queda activo en el sistema para continuar su propagación a través de MSN y verifica distintos sitios web falsos de las mismas entidades anteriores para controlar que los mismos sigan activos. Algunos de estos sitios son los siguientes:
Sitio falso de la entidad Afirme:
Sitio falso del banco HSBC México:
Y algunos otros...
Como puede constatarse, estos sitios son copias de los originales y están orientados a robar usuarios y contraseñas de los usuarios desprevenidos.
Redacción de Segu-Info
El troyano se distribuye a través de MSN con distintos mensajes y a través de una URL que simula ser del conocido sitio TarjetasNico.
Como se puede verse en la siguiente imagen, el sitio simula un mensaje del navegador en donde informa de la supuesta instalación de un ActiveX. Si el usuario hace clic sobre ese mensaje falso, se descarga el archivo ActiveX-Controler.exe, que es el troyano mencionado.
Posteriormente al ejecutarlo, el mismo modifica el archivo Hosts del sistema (C:\WINDOWS\system32\drivers\etc\hosts) para lograr que cuando un usuario intente ingresar a cualquier home-banking, ingrese al sitio falso del atacante. Las entidades afectadas se pueden ver a continuación en un archivo Hosts afectado:
Mientras, el troyano queda activo en el sistema para continuar su propagación a través de MSN y verifica distintos sitios web falsos de las mismas entidades anteriores para controlar que los mismos sigan activos. Algunos de estos sitios son los siguientes:Sitio falso de la entidad Afirme:
Sitio falso del banco HSBC México:
Y algunos otros...Como puede constatarse, estos sitios son copias de los originales y están orientados a robar usuarios y contraseñas de los usuarios desprevenidos.
Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!