Phishing a 5 bancos argentinos (ahora a Perú)
Tal y como mencionamos ayer, era altamente probable que el delincuente realizara cambios en el troyano o bien en las direcciones IP de los bancos atacados. Lo que sucedió fue lo último ya que a partir de hoy, y aprovechando que es fin de semana, la cantidad de bancos ha aumentado:
Ayer eran 5 bancos argentinos y hoy se han agregado 3 bancos de Perú.
En este momento, todos los sitios web falsos siguen activos y aquí hay un ejemplo de ellos:
Como puede verse, al haber sido modificado el archivos hosts, la dirección IP devuelta por cualquiera de los bancos mencionados, es la falsa.
Si bien el proceso de phishing está bien desarrollado por los delincuentes, si se sigue el proceso de login, al finalizar el proceso y luego que se roben los datos, a través del script login.php se redirige al usuario siempre al mismo banco. En la siguiente imagen se puede ver esta diferencia entre la URL y el banco al que se ingresa:
Es importante destacar que este ataque es al usuario, no al banco: el usuario es el que se infecta con el troyano de las postales falsas y a partir de ese momento cada vez que intente ingresar a su banco, ingresará sin saberlo al sitio falso.
Segu-Info en este momento se encuentra trabajando para dar de baja los sitios. Mientras tanto, para verificar que no se encuentra infectado, verifique su archivo C:\WINDOWS\system32\drivers\etc\hosts, y elimine cualquier contenido sospechoso del mismo.
Actualización 14:00 hs: luego del trabajo conjunto de Segu-Info y el CSIRT de Banelco en Argentina, la página de Brasil donde se alojaba el archivo hosts falso, ha sido dada de baja.
Cristian de la Redacción de Segu-Info
En este momento, todos los sitios web falsos siguen activos y aquí hay un ejemplo de ellos:
Si bien el proceso de phishing está bien desarrollado por los delincuentes, si se sigue el proceso de login, al finalizar el proceso y luego que se roben los datos, a través del script login.php se redirige al usuario siempre al mismo banco. En la siguiente imagen se puede ver esta diferencia entre la URL y el banco al que se ingresa:
Segu-Info en este momento se encuentra trabajando para dar de baja los sitios. Mientras tanto, para verificar que no se encuentra infectado, verifique su archivo C:\WINDOWS\system32\drivers\etc\hosts, y elimine cualquier contenido sospechoso del mismo.
Actualización 14:00 hs: luego del trabajo conjunto de Segu-Info y el CSIRT de Banelco en Argentina, la página de Brasil donde se alojaba el archivo hosts falso, ha sido dada de baja.
Cristian de la Redacción de Segu-Info
Cristian me olvide de comentarte que la ip tambien fueron dada de baja, saludos
ResponderBorrar