Postales falsas enviadas por Messenger vacían cuentas

Una vez que la víctima descarga la supuesta postal, el atacante podrá redireccionar al usuario a una página fraudulenta aún escribiendo en el navegador la dirección correcta.

Por Efraín Ocampo

Netmedia - Cada vez es más común saber de ataques de phishing que no son el fin en sí mismos si no el vehículo para sembrar malware y en los cuales no media la intervención del usuario a partir de que descargó un archivo malicioso al sistema de su PC. Este ataque afecta a usuarios de banca en línea de instituciones mexicanas.

Un nuevo engaño que afecta a usuarios de Windows Live Messenger consiste en que una postal electrónica falsa a nombre de Metropostales es distribuida a través de la lista de contactos de la cuenta del usuario cuya PC ha sido infectada.

Hasta esa parte, pareciera un viejo gusano cualquiera que se distribuye automáticamente a través del Messenger el cual abre ventanas a la lista de contactos de la cuenta infectada con un mensaje del tipo ‘te envío esta postal, espero que te guste’ con una liga a una página Web la cual no descarga automáticamente el malware, sino que dirige a la víctima a una página apócrifa de Metropostales.

Ahí se le pedirá al usuario que descargue la postal y es en este momento cuando realmente descargará el malware. De acuerdo con un reporte de Juan Pablo Castro, consultor de tecnología de Trend Micro, este tipo de malware ayudará a los cibercriminales a tomar el control de la PC.

Castro indica que luego de secuestrar el sistema operativo de la PC de la víctima los atacantes cambian en el sistema el archivo de hosts en cada máquina infectada para que cuando la víctima tecleé en el navegador la página de un banco en línea, por ejemplo, sea redirigido automáticamente y sin que lo perciba a una página Web fraudulenta.

El experto en seguridad señala que en este momento el sitio de banca en línea de una institución mexicana que está siendo atacado es el Banco del Bajío.

El reporte señala que los atacantes están agregando las líneas al archivo de hosts (C:\Windows\system32\drivers\etc\hosts) 66.7.194.122 y 66.7.194.122. De esta manera, si el usuario escribe la página bb.com.mx en el explorador es redireccionado a otra página que no es la del banco deseado.

“Esto sucede sin ninguna intervención del usuario, al igual que el envío de mensajes a toda la lista de contactos del Messenger”, explicó Castro.
Las consecuencias ya son conocidas, los atacantes copian el usuario y contraseña de la víctima así como sus números de tarjetas bancarias y proceden a vaciar las cuentas a las que tengan acceso.

Comentarios

Entradas más populares de este blog

Coincidencias Desafortunadas: Ángel de Hielo

Franklin EVDO USB Modem Review - CDU 680