Investigación

Mundial 2014: no anote un autogol

Parte 1 – Phishing y malware

En menos de un mes, 32 equipos y miles de aficionados del fútbol šdescenderán en Brasil para el Mundial š2014. En solo semanas todo el mundo estará observando lo que, sin duda, será el mayor evento deportivo del planeta. En este momento los jugadores y entrenadores están revisando sus tácticas, planes y estrategias con el fin de ganarle a sus oponentes. Sin embargo, no son los únicos ya que los cibercriminales alrededor del mundo también están haciendo lo mismo.

Hace unos meses describimos varios ataques que explotan el tema del Mundial. Estos ataques incluyen dominios fraudulentos que venden boletos que no existen, promociones falsas y diversas campañas de malware y phishing con el objetivo de clonar las tarjetas de crédito de los usuarios. Los ataques continúan pues la curiosidad acerca de los eventos se incrementa a medida que se acerca el inicio de los juegos. En esta serie de blogs, mi colega Dmitry Bestuzhev y yo šinformaremos acerca delos últimos ataques y ofreceremos consejos para su seguridad, ya sea que este viajando a Brasil para ver los partidos en vivo o si los disfrutará desde la comodidad de su hogar en su PC o dispositivo móvil.

En esta primera parte conoceremos los detalles de ataques muy profesionales de phishing y malware desarrollados por ciberdelincuentes brasileños, incluyendo el uso del malware firmado digitalmente, uso de una base de datos robada usando el nombre de un sitio de venta de boletos de entrada al Mundial, ataques de phishing personalizados y dominios falsos con certificados SSL. Todos estos ataques tienen el mismo objetivo: infectar a su computadora para robar su dinero.

¿Verdadero o falso?

¿Cómo se puede desenmascarar a un dominio de phishing? A menudo, los phishers invaden a sitios web legítimos y les alojan páginas falsas, como ejemplo podemos mencionar otrositio.com/pagina_de_phishing. Pero ¿y si los phishers son realmente profesionales? Si este es el caso, ellos preparan el ataque de tal manera que un usuario común y corriente no pueda identificar si la página es verdadera o falsa, lo que aumenta el número de víctimas.

Eso es exactamente lo que los phishers brasileños están haciendo ahora – registrando dominios maliciosos en .com, .com.br, .net, .org, etc. usando nombres de marcas conocidas como compañías de tarjetas de crédito, bancos, tiendas online, etc. Las páginas de phishing ubicadas dentro de estas tienen un diseño muy profesional, como la siguiente, que utiliza el nombre de Cielo, una empresa de tarjetas de crédito:



¿El Mundial es mejor en Brasil? No, ellos solo quieren clonar su tarjeta

Los criminales no han olvidado otras tarjetas como Mastercard:



La página invita al usuario a registrarse para ganar boletos pare el Mundial, pero le pide ingresar el número completo de su tarjeta…

Aquí otro dominio de phishing usando la imagen del presentador de televisión brasileña Rodrigo Faro – su imagen es comúnmente explotada en estos ataques:



Pobre Rodrigo Faro, se convirtió en modelo publicitario de los phishers brasileños…

Todos los dominios tienen un diseño muy profesional ya que el objetivo es engañar a las víctimas:


En Kaspersky Lab bloqueamos alrededor de 50 a 60 dominios de phishingš cada día.. y esto es sólo en Brasil!

Pero los phishers no se detienen ahí: también registran dominios y compran certificados SSL de empresas como Comodo, EssentialSSL, Starfield, Register.com y otros. El resultado está en páginas šde phishing “certificadas”, donde se muestra el famoso "candado de seguridad", conš conexiones HTTPS, aunque el dominio sea falso:



El verdadero és .com.br y no .net, más el falso tiene un certificado SSL para engañarte…

Aquí otro que tiene el nombre de “Visa” en el enlace, pero también es falso:


¿Cómo es que entonces un usuario común y corriente puede reconocer estos dominios? Bueno, no es una tarea fácil. Es por eso que nuestra tecnología antiphishingš bloquea estos dominios de forma proactiva, incluso antes de que los phishers activen el contenido malicioso.

¿Por qué los certificadores le venden estos certificados a los criminales? Para ser honesto, no lo sabemos. Lo que es seguro es que con urgencia necesitan implementar un proceso de verificación mejorado y así dejar de ayudar a los cibercriminales que quieren robar dinero deš usuarios incautos.

Los phishers también preparan páginas fraudulentas en formato móvil. Si se accede a laš página vía un smartphone ya está estará en el formato apropiado para su teléfono:


Firmado, pero malicioso

Ciberdelincuentes brasileños están tomando ventaja de la facilidad de la compra de certificados SSL para así comienzar sus campañas de distribución de malware firmado digitalmente. Esto ha estado ocurriendo por algún tiempo, y por supuesto que no podía dejar de adaptarse al tema del Mundial. En algunos certificados digitales fraudulentos utilizados encontramos más de 50 troyanos firmados digitalmente. El objetivo es hacer que el troyano pase más tiempo sin ser detectado por los programas de antivirus.

Los mensajes maliciosos llegan con este contenido:



«¡Saludos, ganaste boletos al Mundial! ¡Imprímelo ahora!»

El «boleto» es en verdad un troyano bancario brasileño típico, pero firmado digitalmente:



Trojan-Banker.Win32.Banker.bplh

Base de datos robados, phishing personalizado

¿Qué tal un correo electrónico personalizado, supuestamente enviado por un sitio de venta de entradas conocido indicando que šse ha ganado una entrada para ver los partidos? Para darle un aire de legitimidad al mensaje, los criminales añaden sus datos personales como su nombre completo, número de teléfono, dirección, nombre de la madre y su número nacional de identidad. ¿El mensaje parece cierto? ¡Pero no lo es!

Es exactamente lo que los cibercriminales brasileños han hecho, utilizando un conjunto de datos de bases robadas de un sitio desconocido:



«Ganaste 2 boletos para el mundial»

El mensaje tenía un enlace que lo llevaba a este sitio de abajo. Para recibir los boletos, la persona necesitaba descargarlos, pero el archivo es un troyano bancario:


De hecho los ciberdelincuentes brasileños no son los únicos en el mundo que están explorando este tema – otros ataques están apareciendo en otras partes del mundo, en diferentes idiomas, con diferentes objetivos.

Si usted está planeando viajar a Brasil para ver el Mundial, o incluso si planea verlo en línea, esté alerta, no crea en cualquier mensaje que reciba, compruebe cuidadosamente antes de hacer clic o instalar algo. ¡No anote un autogol!

En nuestro próximo blog le enseñaremos cómo proteger su tarjeta de crédito si va de viaje a Brasil, la tierra del «malware Chupa Cabra».

Mundial 2014: no anote un autogol

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada