20 mar 2010

Phishing a 5 bancos argentinos

Luego de nuestro informe sobre las postales de amor falsas (el archivo en el servidor de Colombia ya ha sido dado de baja), hemos analizado el archivo amor.exe descargado y nos hemos encontrado con un Phishing a 5 entidades bancarias argentinas a través de la modificación del archivo hosts del sistema, ubicado en c:\windows\system32\drivers\etc.

Las modificaciones realizadas a dicho archivo se ven a continuación:
Al momento de escribir esto hemos podido constatar que la dirección IP ya no contiene los sitios falsos.

De todos modos el troyano está preparado para descargar el archivo modificado desde un sitio gubernamental de Brasil:

Es decir que el delincuente tiene acceso a ese sitio y cuando modifique las direcciones IP, todas los sistemas infectados podrían acceder al home-banking falso. A continuación se ve la conexión realizada por el ejecutable al sitio mencionado:

Evidentemente quien ha escrito este troyano en VisualBasic ya tiene todo lo necesario para seguir realizando estos ataques, por lo que esta experiencia debe servir de advertencia porque pronto aparecerán nuevos sitios falsos activos, alojados en otras direcciones IP.

Sería bueno que los usuarios y las entidades bancarias tomen las medidas preventivas necesarias.

Nota: una curiosidad del archivo ejecutable es que se ven enlaces a sitios relacionados con productos farmacéuticos falsos.

El caso sigue con bancos peruanos.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. Muchas gracias por la noticia.
    La misma fué copiada en nuestro foro con los correspondientes creditos para mantener informados a los usuarios de nuestra comunidad.
    Lo unico que se modificaron fueron las imagenes que se subieron a un servidor gratuito para no generar trafico innecesario en el servidor de ustedes.

    Eduardo

    La URL de la noticia se vé en:
    http://www.unioninternautas.com.ar/foro/viewtopic.php?f=5&t=5847

    ResponderBorrar
  2. Muy buen artículo. Muchas Gracias

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!