miércoles, 2 de julio de 2008

Banamex ataque de phishing


Un nuevo ataque de phishing, cuyo principal objetivo es la entidad bancaria Banamex, ha sido detectado en los Laboratorio de Eset en los últimos días.


El malware que intenta llevar a cabo esta modalidad de fraude es detectado por ESET NOD32 bajo el nombre de Win32/Qhost.AKN. Al ser ejecutado modifica el archivo hosts de los sistemas MS Windows agregando las siguientes direcciones web:

127.0.0.1 www.banamex.com
127.0.0.1 www.banamex.com
127.0.0.1 banamex.com
127.0.0.1 www.banamex.com.mx
127.0.0.1 banamex.com.mx



Esta técnica es denominada Pharming local y es muy utilizada por la mayoría de los troyanos bancarios actuales. Por otro lado, Qhost.AKN no modifica el archivo hosts en el momento de ser ejecutado, sino que lo hace luego de reiniciar la PC; para lo cual, también agrega una clave en el registro del sistema que le permite mantener su proceso activo.

Clave agregada por el malware


Si bien los ataques de phishing ya no suponen una novedad, quizás resulta interesante en este caso particular, el hecho de que el troyano crea una carpeta llamada win en la carpeta system32 alojando en la misma las páginas falsas.
Carpeta creada por el malware

A continuación podemos observar la página falsa y la página real respectivamente.

Phishing

Los ataques de phishing reportados en Latinoamérica aumentan cada vez más en la eficacia de sus técnicas, por tal motivo es muy importante que como usuarios conozcamos las diferentes vetas del phishing y adoptemos las medidas de seguridad básicas que nos permitan detectar a tiempo estas amenazas.

Del mismo modo es necesario denunciar los casos de phishing desde las opciones incorporadas en los navegadores de Internet (browser), o a través de sitios como www.antiphishing.org.



Tipos de troyanos

Dentro de toda esta gran selva de la web, conviven diferentes tipos de programas y diferentes tipos de tecnologías utilizadas para hacer daño o estafar al usuario.

Los troyanos constituyen uno de los ejemplares con mayor difusión y el que más variantes posee. Los nombres específicos que adoptan cada uno de ellos suele generar confusión en el usuario, quién termina identificándolos de forma errónea bajo el nombre general de “virus”.

Veamos entonces, cuáles son los nombres que comúnmente aparecen en el ámbito de los troyanos y qué función cumple cada uno de ellos:

Troyano backdoor: este tipo de troyano habilita un canal de acceso no convencional en el sistema permitiendo que otros malware y/o personas malintencionadas ingresen sin inconvenientes al mismo.

Troyano drooper: se caracteriza por ejecutar otros códigos maliciosos al momento de su ejecución.

Troyano keylogger: en este caso, el troyano se encarga de monitorear y registrar todo lo que se tipea con el teclado. Está netamente orientado al robo de información confidencial. Algunos de ellos tienen la capacidad de realizar capturas de pantallas.

Troyano bancario: se refiere a aquellos que ayudan en la ejecución de ataques de phishing. En muchos casos, modifican el contenido del archivo hosts de los sistemas Windows. Esta técnica es denominada pharming local.

Troyano downloader: estos códigos maliciosos se encargan de descargar otros códigos maliciosos mientras se encuentran activos.

Troyano Bot: la función principal de este tipo de troyanos es convertir una computadora en zombi. Cada una de estas computadoras zombis formará parte de redes botnets.


No hay comentarios:

Publicar un comentario en la entrada