News

Qhost vs. Banamex

El 19 y 20 de febrero, las direcciones mexicanas de correo electrónico empezaron a recibir mensajes que tenían la apariencia de tarjetas de felicitación normales.

Por supuesto, el mensaje era falso. Los enlaces en los mensajes llevaban a los usuarios a un sitio completamente diferente: http://72.9.134.130/~rockybob/ (por supuesto, no damos la dirección exacta).

Una vez que el usuario llega al sitio web, un escenario php se ejecuta y descarga un fichero nocivo (TarjetasNico.exe) desde otro sitio.

Es curioso que el sitio que descarga el troyano notifica que ha sido víctima de hackers en las últimas 48 horas y que por eso podría funcionar mal.

El ícono para descargar el fichero nocivo es una copia exacta del usado en el de tarjetas de felicitación:

Para estar seguros de que el usuario no sospeche nada, los “malos muchachos” que están detrás han hecho que Internet Explorer muestre una tarjeta real. El texto en un clásico de la ingeniería social: un descorazonador mensaje de despedida para siempre. Es claro que su diseño apunta a ganarse la simpatía de los usuarios, quizá para que éstos traten de reenviar el mensaje original a sus amigos y parientes.

Una vez que el código malicioso se pone en marcha, modifica las entradas DNS en el fichero hosts, lo que hace que los siguientes sitios sean redireccionados:

www.banamex.com
banamex.com
banamex.com.mx
www.banamex.com.mx
www.bancanetempresarial.banamex.com.mx
bancanetempresarial.banamex.com.mx
www.bancanetempresarial.banamex.com
bancanetempresarial.banamex.com
boveda.banamex.com
www.boveda.banamex.com
www.boveda.banamex.com.mx
boveda.banamex.com.mx

Un vistazo a la lista muestra que el troyano amenaza a los usuarios del banco mexicano Banamex. Cualquier cliente del banco cuyos equipos estén infectados, si tratan de acceder a los sitios mencionados, van a dar a un sitio web nocivo. Y por supuesto, si ellos escriben sus datos de cuentas bancarias en este sito – y allí les pedirán que lo hagan-, su información terminará en manos de los bandidos.

Este ataque es trabajo de un equipo internacional. Los mensajes originales provenía de Holanda, el servidor phishing está en los EEUU y los destinatarios eran mejicanos o personas que tienen alguna relación con México. El análisis del fichero nocivo mostró que estaba escrito en VisualBasic por alguien con buenos conocimientos de español, quizá alguien que vive en México.

Empezamos a profundizar y llegamos a esto:

Esta es la página que los delincuentes usan para enviar sus mensajes. Como lo muestran las capturas de pantalla, en esta página se puede crear un texto de mensaje, modificar el código HTML, especificar destinatarios, direcciones, cantidad de destinatarios y también enviar mensajes con adjuntos. Hay un lindo detalle.

Mientras escribíamos esto, los sitios web estaban todavía activos y sólo 3 antivirus habían detectado esta amenaza. Nosotros en Kaspersky Lab la detectamos como Trojan.Win32.Qhost.aha. Como siempre, el usuario debe guardar extrema precaución, sobre todo si usted es un cliente de Banamex, tenga mucho cuidado para que no lo estafen.

Qhost vs. Banamex

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada