Troyanos haciendo Pharming local a bancos

El pharming es un tipo de ataque que permite redireccionar un nombre de dominio a una IP distinta de la original. Esto se puede realizar a través de un servidor DNS o a través de un archivo en el equipo del usuario (hosts), lo que se conoce como pharming local. Para más información sobre pharming puede consultar la Plataforma Educativa de ESET.

¿Y de qué sirve todo esto? Si un usuario malintencionado logra modificar los DNS (algo un poco complejo para principiantes) o el archivo host local del usuario (algo sencillo con los permisos adecuados), el atacante logrará redireccionar cualquier sitio web a una página falsa para robar información del usuario.

ESET ha encontrado nuevas variantes de estos troyanos que utilizando la misma técnica de Ingeniería Social se aprovechan del usuario para modificar el archivo mencionado con la siguiente información:

Archivo hosts modificado

Lo que se logra con esto es redireccionar el sitio del banco mencionado a la IP que allí figura, la cual pertenece a un sitio falso montado para realizar ataques de phishing. Esta IP (ubicada en Perú) seguramente corresponde a un usuario que mantiene su equipo desprotegido o formando parte de una botnet. Para verificar esto simplemente podemos realizar una comparación entre los resultados antes y después de la infección del troyano:

Ping a sitio web

Con esta sencilla modificación se logra un peligroso efecto: que cuando el usuario ingrese al sitio (supuestamente verdadero) incluso tipeando la URL (sin hacer clic en ningún enlace), el sitio web que se mostrará será el falso (el de la segunda IP). Además, esta técnica tiene la ventaja de funcionar en cualquier navegador.

A continuacicón se observa lo que sucede al ingresar al supuesto sitio del banco:

Sitio falso del banco

Como puede verse, el sitio al que se ingresa es igual al del banco y nada haría sospechar del engaño. ¿Por qué habría de sospechar si el sitio luce igual y además yo mismo tipee la URL? Lo “único” sospechoso que podemos ver en este sitio es una dirección extraña en la parte superior (indicada con la flecha).

Esto se debe a que el creador del sitio web falso descargó el sitio web verdadero y no finalizó dicha descarga generando ese error. Sin dudas, no le interesaba demasiado hacerlo bajo la premisa de que son pocos los usuarios que pueden notar este sutil error. Por lo demás, el engaño es perfecto.

Nuevamente notamos la necesidad de no infectarse… Luego que lo haces, tu computadora ya no se tuya.

Cristian

Autor , ESET

Síguenos