Investigación

PACs y Bitcoins maliciosos

Resulta que ahora los ciberdelincuentes en Brasil también se interesan por la moneda virtual Bitcoin. Para unirse a la horda de phishers en su acoso a la moneda virtual, han aplicado su mejor técnica maliciosa: PACs maliciosos en ataques por Internet, y dominios phishing.

El uso malicioso de PAC (Proxy Auto-Config) entre los black hats brasileños no resulta novedoso (lo sabemos desde 2007). Por lo general, este tipo de scripts maliciosos se usan para desviar la conexión de las víctimas hacia páginas phishing de bancos, tarjetas de crédito, etc. Hemos descrito al detalle estos ataques aquí: Característica beneficiosa, uso malicioso. En 2012, un troyano banquero ruso llamado Capper también comenzó a usar la misma técnica. Es muy efectivo en ataques al paso.
Después de registrar el dominio java7update.com, los ciberdelincuentes brasileños lanzaron ataques contra varios sitios web, insertando un iframe malicioso en algunas páginas infectadas:

Este iframe carga un applet Java malicioso elaborado para cambiar la configuración del proxy en los navegadores IE y Firefox. La URL usada en el ataque apunta a un archivo llamado update.pac que luce así:

Para burlar la detección de firmas, el script usa múltiples concatenaciones. Después de limpiarlo, el script se ve así:

Notemos que entre los sitios de bancos y compañía de tarjetas de crédito brasileños que han sido atacados por este script malicioso, está el dominio mtgox.com, el mercado más popular de la moneda virtual bitcoin. También se observa un desvío al dominio mtgox.com.br que no existe en Brasil, pero sigue presentándose en los equipos infectados, por supuesto, apuntando a una página phishing:

En un ordenador limpio, el acceso al dominio mtgox.com.br muestra esta página:

El objetivo queda claro: desviar a las víctimas a una página fraudulenta de mtgox.com para robarles sus datos, y por supuesto, algunos bitcoins. This Esta es una de las páginas fraudulentas que se usó en el ataque.
A los visitantes regulares de mtgox.com les recomendamos activar la autenticación de dos factores en sus cuentas para evitar ser víctimas de este ataque.

Este PAC malicioso se detecta como Trojan.JS.Redirector.za.

PACs y Bitcoins maliciosos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada