Clientes de bancos colombia víctimas de troyanos bancarios
Nos han denunciado un caso de un correo que menciona la supuesta transferencia de dinero entre los presidentes Santos y Chavez y se invita a descargar desde CNN un documento XLS con las pruebas.
El correo es el siguiente (errores incluidos):
Como puede verse el enlace conduce a un sitio ruso: http://office.vostok[ELIMINADO].ru/userfiles/File/www-cnn.espanol-news/Documentoventadepartamentodelaguajiraexcel.zip y al descargar el archivo ZIP, su contenido es un archivo ejecutable dañino Documentoventadepartamentodelaguajiraexcel.exe, detectado por muy pocos antivirus hasta el momento.
El programa se encuentra desarrollado en VisualBasic y que descarga otro malware bancario desde
http://194.[ELIMINADO].173.187/foto-service/exklusiv/content/sys/syswinlogofull.exe también con detección casi nula y orientado a robar credenciales de los siguientes bancos colombianos a través de ataques de Pharming Local:
Cristian de la redacción de Segu-Info
El correo es el siguiente (errores incluidos):
CNN obtubo en exclusiva un Documento donde presuntamente el presidente colombiano Juan manuel santos calderon recibe 70 millones de dolares de su homologo venezolano Hugo Rafael Chavez Frias presidente venezolano , este dinero seria presuntamente la venta del departamento de la Guajira para mas detalles a continuacion compartimos este documento con todos nuestros Lectores:A continuación se puede ver la imagen del correo, con la dirección del enlace dañino:
www.cnnenespanol.com/news/documentoventadepartamentodelaguajira.zip <-- enlace dañino
Como puede verse el enlace conduce a un sitio ruso: http://office.vostok[ELIMINADO].ru/userfiles/File/www-cnn.espanol-news/Documentoventadepartamentodelaguajiraexcel.zip y al descargar el archivo ZIP, su contenido es un archivo ejecutable dañino Documentoventadepartamentodelaguajiraexcel.exe, detectado por muy pocos antivirus hasta el momento.
El programa se encuentra desarrollado en VisualBasic y que descarga otro malware bancario desde
http://194.[ELIMINADO].173.187/foto-service/exklusiv/content/sys/syswinlogofull.exe también con detección casi nula y orientado a robar credenciales de los siguientes bancos colombianos a través de ataques de Pharming Local:
- Banco de Occidente
- Colmena
- Banco Caja Social
- Banco Popular
- Banco GNB Sudameris
- Banco de Bogota
- BBVA
- Bancolombia
- Banco Popular
- Santander Colombia
- Banco AV Villas
Cristian de la redacción de Segu-Info
Vaya título tan fuerte Cristian... La verdad, me imaginaba algo más...
ResponderBorrarCon todo respeto, me sorprende que alguien tan especializado en estos temas como tu, haga ese tipo de declaraciones...
Sin analizar en detalle la muestra parece que se trata de un caso más de pharming... Uno de tantos casos que vemos todos los días... No solo a los bancos colombianos, sino a casi todos los bancos mundiales, incluyendo websites dedicados al comercio electrónico ó que involucren dinero...
Algunos ejemplos:
- http://malware-project.org/analisis-de-malware-a-nombre-de-eltiempo-com-elespectador-com-y-el-nacional-com-iiiiii/
- http://malware-project.org/malware-con-cenas-muito-forte/
Y el más reciente:
- http://malware-project.org/analisis-de-malware-boletas-mundialeras/
Tu título invita a asumir que dentro de las instituciones exista este tipo de malware (posiblemente así sea, pero no existen pruebas para demostrarlo) y no que los usuarios son las víctimas reales de este tipo de actividades ilícitas.
Es más acertado hablar de que las víctimas somos nosotros los usuarios, y no los bancos... Finalmente cuando un usuario va a denunciar o a reclamar por el fraude en que fué víctima siempre le preguntarán ¿Ingresó a la sucursal virtual desde un enlace? ¿Descargó algún archivo sospechoso? A lo que el usuario responderá que si... Y automáticamente será el responsable del fraude. En ningún momento la entidad bancaria responderá por el dinero perdido...
Un saludo Cristian, y nuevamente es con todo respeto y admiración lo expresado.
Buena observación 4v4t4r:
ResponderBorrarCoincido contigo en que la victima es el usuario (como en el 99.99% de los casos) pero en este caso los bancos blancos del ataque de pharming son todos colombianos. Las URL de los mismos se ven en el 2do archivo descargado (igual que en el caso que citas tú).
De todos modos cambiaré el titulo del post porque evidentemente se puede entender mal y nada más lejos de mi objetivo.
Cristian
cristian, coincido con 4v4t4r, no solo para este sino para varios articulos los titulos no son acertados, son mas exagerados y "amarillistas" de lo que deberian ser. Recuerde que no solo se lee este blog en argentina.
ResponderBorrarOjala se tenga en cuenta el comentario para proximos articulos.
saludos