El 19 y 20 de febrero, las direcciones mexicanas de correo electrónico empezaron a recibir mensajes que tenían la apariencia de tarjetas de felicitación normales.
Por supuesto, el mensaje era falso. Los enlaces en los mensajes llevaban a los usuarios a un sitio completamente diferente: http://72.9.134.130/~rockybob/ (por supuesto, no damos la dirección exacta).
Una vez que el usuario llega al sitio web, un escenario php se ejecuta y descarga un fichero nocivo (TarjetasNico.exe) desde otro sitio.
Es curioso que el sitio que descarga el troyano notifica que ha sido víctima de hackers en las últimas 48 horas y que por eso podría funcionar mal.
El ícono para descargar el fichero nocivo es una copia exacta del usado en el de tarjetas de felicitación:
Para estar seguros de que el usuario no sospeche nada, los “malos muchachos” que están detrás han hecho que Internet Explorer muestre una tarjeta real. El texto en un clásico de la ingeniería social: un descorazonador mensaje de despedida para siempre. Es claro que su diseño apunta a ganarse la simpatía de los usuarios, quizá para que éstos traten de reenviar el mensaje original a sus amigos y parientes.
Una vez que el código malicioso se pone en marcha, modifica las entradas DNS en el fichero hosts, lo que hace que los siguientes sitios sean redireccionados:
banamex.com
banamex.com.mx
www.banamex.com.mx
www.bancanetempresarial.banamex.com.mx
bancanetempresarial.banamex.com.mx
www.bancanetempresarial.banamex.com
bancanetempresarial.banamex.com
boveda.banamex.com
www.boveda.banamex.com
www.boveda.banamex.com.mx
boveda.banamex.com.mx
Un vistazo a la lista muestra que el troyano amenaza a los usuarios del banco mexicano Banamex. Cualquier cliente del banco cuyos equipos estén infectados, si tratan de acceder a los sitios mencionados, van a dar a un sitio web nocivo. Y por supuesto, si ellos escriben sus datos de cuentas bancarias en este sito – y allí les pedirán que lo hagan-, su información terminará en manos de los bandidos.
Este ataque es trabajo de un equipo internacional. Los mensajes originales provenía de Holanda, el servidor phishing está en los EEUU y los destinatarios eran mejicanos o personas que tienen alguna relación con México. El análisis del fichero nocivo mostró que estaba escrito en VisualBasic por alguien con buenos conocimientos de español, quizá alguien que vive en México.
Empezamos a profundizar y llegamos a esto:
Esta es la página que los delincuentes usan para enviar sus mensajes. Como lo muestran las capturas de pantalla, en esta página se puede crear un texto de mensaje, modificar el código HTML, especificar destinatarios, direcciones, cantidad de destinatarios y también enviar mensajes con adjuntos. Hay un lindo detalle.
Mientras escribíamos esto, los sitios web estaban todavía activos y sólo 3 antivirus habían detectado esta amenaza. Nosotros en Kaspersky Lab la detectamos como Trojan.Win32.Qhost.aha. Como siempre, el usuario debe guardar extrema precaución, sobre todo si usted es un cliente de Banamex, tenga mucho cuidado para que no lo estafen.
Qhost vs. Banamex