PACs y Bitcoins maliciosos

Resuklta que ahora los ciberdelincuentes en Brasil también se interesan por la moneda virtual Bitcoin. Para unirse a la horda de phishers en su acoso a la moneda virtual, han aplicado su mejor técnica maliciosa: PACs maliciosos en ataques por Internet, y dominios phishing.

El uso malicioso de PAC (Proxy Auto-Config) entre los black hats brasileños no resulta novedoso (lo sabemos desde 2007). Por lo general, este tipo de scripts maliciosos se usan para desviar la conexión de las víctimas hacia páginas phishing de bancos, tarjetas de crédito, etc. Hemos descrito al detalle estos ataques aquí: Característica beneficiosa, uso malicioso. En 2012, un troyano banquero ruso llamado Capper también comenzó a usar la misma técnica. Es muy efectivo en ataques al paso.
Después de registrar el dominio java7update.com, los ciberdelincuentes brasileños lanzaron ataques contra varios sitios web, insertando un iframe malicioso en algunas páginas infectadas:

Este iframe carga un applet Java malicioso elaborado para cambiar la configuración del proxy en los navegadores IE y Firefox. La URL usada en el ataque apunta a un archivo llamado update.pac que luce así:

Para burlar la detección de firmas, el script usa múltiples concatenaciones. Después de limpiarlo, el script se ve así:

Notemos que entre los sitios de bancos y compañía de tarjetas de crédito brasileños que han sido atacados por este script malicioso, está el dominio mtgox.com, el mercado más popular de la moneda virtual bitcoin. También se observa un desvío al dominio mtgox.com.br que no existe en Brasil, pero sigue presentándose en los equipos infectados, por supuesto, apuntando a una página phishing:

En un ordenador limpio, el acceso al dominio mtgox.com.br muestra esta página:

El objetivo queda claro: desviar a las víctimas a una página fraudulenta de mtgox.com para robarles sus datos, y por supuesto, algunos bitcoins. This Esta es una de las páginas fraudulentas que se usó en el ataque.
A los visitantes regulares de mtgox.com les recomendamos activar la autenticación de dos factores en sus cuentas para evitar ser víctimas de este ataque.

Este PAC malicioso se detecta como Trojan.JS.Redirector.za.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *