Postales falsas enviadas por Messenger vacían cuentas

Cada vez es más común saber de ataques de phishing que no son el fin en sí mismos si no el vehículo para sembrar malware y en los cuales no media la intervención del usuario a partir de que descargó un archivo malicioso al sistema de su PC. Este ataque afecta a usuarios de banca en línea de instituciones mexicanas.


Un nuevo engaño que afecta a usuarios de Windows Live Messenger consiste en que una postal electrónica falsa a nombre de Metropostales es distribuida a través de la lista de contactos de la cuenta del usuario cuya PC ha sido infectada.



Hasta esa parte, pareciera un viejo gusano cualquiera que se distribuye automáticamente a través del Messenger el cual abre ventanas a la lista de contactos de la cuenta infectada con un mensaje del tipo ‘te envío esta postal, espero que te guste’ con una liga a una página Web la cual no descarga automáticamente el malware, sino que dirige a la víctima a una página apócrifa de Metropostales.




Ahí se le pedirá al usuario que descargue la postal y es en este momento cuando realmente descargará el malware. De acuerdo con un reporte de Juan Pablo Castro, consultor de tecnología de Trend Micro, este tipo de malware ayudará a los cibercriminales a tomar el control de la PC.



Castro indica que luego de secuestrar el sistema operativo de la PC de la víctima los atacantes cambian en el sistema el archivo de hosts en cada máquina infectada para que cuando la víctima tecleé en el navegador la página de un banco en línea, por ejemplo, sea redirigido automáticamente y sin que lo perciba a una página Web fraudulenta.



El experto en seguridad señala que en este momento el sitio de banca en línea de una institución mexicana que está siendo atacado es el Banco del Bajío.



El reporte señala que los atacantes están agregando las líneas al archivo de hosts (C:\Windows\system32\drivers\etc\hosts) 66.7.194.122 y 66.7.194.122. De esta manera, si el usuario escribe la página bb.com.mx en el explorador es redireccionado a otra página que no es la del banco deseado.



“Esto sucede sin ninguna intervención del usuario, al igual que el envío de mensajes a toda la lista de contactos del Messenger”, explicó Castro.


Las consecuencias ya son conocidas, los atacantes copian el usuario y contraseña de la víctima así como sus números de tarjetas bancarias y proceden a vaciar las cuentas a las que tengan acceso.

Fuente: ESET LAB

A ti que te gustan los EMOTICONES GRATUITOS

A veces no nos damos cuenta de lo que entregamos a cambio de cosas sencillas. Digo esto porque en el ejemplo que sigue estamos dispuestos a entregar nuestra privacidad (por supuesto a veces sin saberlo) a cambio de un simple emoticón.

Este tipo de engaños es muy frecuente en Internet y lamentablemente muchas veces terminamos haciendo el caldo gordo a los delincuentes. En este caso se simula una ventana de chat y en cualquier lugar que el usuario haga clic, será redireccionado a la descarga de un adware:



El adware puede ser cualquiera, pero en este caso se trata de Hotbar, que ya fuera objeto de análisis en ESET Latinoamérica por su carácter invasivo y lo complicado que suele tornarse removerlo del sistema.

Por eso, pensemos lo que estamos dispuestos a entregar a cambio de una simple “carita sonriente”.

Fuente:ESET LAB

Llegaron las felicitaciones maliciosas

"Como ya se está volviendo costumbre en navidad y en el día de San Valentín, en todo el mundo comenzaron a circular las tarjetas navideñas con malware integrado."

Al acercarse la temporada navideña los autores de códigos maliciosos están recurriendo a estas temáticas, como acostumbran particularmente es estas fechas y en el día de San Valentín.




Un reporte de Websense dio a conocer que están circulando correos electrónicos que contienen un vínculo a un sitio en Internet donde se puede visualizar la tarjeta enviada incluso hasta por un conocido. Sin embargo, conducen en realidad a la puerta trasera de un troyano que infectará la computadora para tomar control de ella.

“Los mensajes de correo electrónico aparecen como si hubieran sido enviados desde el despliegue de un escenario navideño animado en el dominio postcards.org. Una liga URL dentro del correo conduce a un archivo malicioso llamado postcard.exe hospedado en varios servidores”, indica el reporte.


Es hasta que el usuario pretende visualizar la tarjeta animada cuando el troyano es descargado al sistema. Una vez ejecutado el malware, el atacante podrá tener control de la máquina infectada. Mientras el troyano está siendo instalado en la PC, se despliega una imagen llamada xmas.jpg con el fin de distraer al usuario.

Accesos directos que ejecutan malware

Se trata de un mensaje en idioma alemán donde se aclara que se ha realizado una transacción de un determinado monto de dinero y que para obtener mayor información, se debe recurrir al archivo adjunto. El correo electrónico es un spam como el siguiente:



El archivo adjunto contiene una carpeta llamada “scann”, que en su interior aloja un archivo llamado “scann.a”, un malware que ESET NOD32 detecta bajo el nombre de Win32/AutoRun.FakeAlert.AD, y un acceso directo con el mismo nombre que el archivo adjunto.


Y, precisamente en este acceso directo se encuentra lo llamativo, ya que el mismo se encuentra asociado al archivo “scann.a” a través de la siguiente instrucción: %windir%\system32\cmd.exe /c scann\scann.a

Es decir, el usuario que haga doble clic sobre el acceso directo, estará ejecutando bajo línea de comandos el código malicioso. Por lo tanto, es importante adoptar buenas prácticas de no descargar ni ejecutar archivos adjuntos e instalar un antivirus con capacidades de detección proactiva capaz de detectar estas nuevas amenazas.

Fuente: ESET LABS