Sin bien el phishing actualmente no es ninguna novedad, durante este mes se ha masificado su explotación a través de diferentes amenazas, sobre todo, con motivo del cercano festejo de las fiestas navideñas.

En este caso se trata de un archivo llamado "videotestimonio.mpeg.exe" que llega hasta el usuario a través de un correo electrónico simulando ser una noticia sobre un supuesto secuestro en México:

El archivo descargado, detectado por ESET NOD32 como BAT/Qhost.NAT, en primera instancia, posee doble extensión, una vieja técnica de engaño que responde a una estrategia de Ingeniería Social aplicada sobre el archivo.

Al ser ejecutado, se abre el navegador web predeterminado mostrando una página de YouTube. Esto es otra estrategia de engaño tendiente a  evitar sospechas por parte del usuario, ya que, por el nombre del archivo, lo que se espera es la visualización de un video.

Sin embargo, de manera transparente, el código malicioso realiza lo que se conoce como pharming local que modifica el archivo hosts con información maliciosa. Veamos una captura al respecto:


De esta manera, se realiza un ataque de pharming local orientado a redireccionar al usuario de manera subrepticia hacia un sitio web falso, en este caso, de las entidades bancarias Banamex y Bancomer de México.

Algunas características a tener en cuenta sobre este tipo de malware son:

  • No dejan un proceso malicioso corriendo en tiempo real en memoria
  • No manipulan el registro con información maliciosa
  • Sólo modifican el archivo hosts del sistema
  • Al ser ejecutados suelen redireccionar hacia alguna página relacionada con el engaño

Los ataques de phishing constituyen una de las más peligrosas amenazas para el bolsillo de los usuarios, por lo tanto, debemos estar atentos a este tipo de engaños para poder advertirlo de manera oportuna, además de mantener actualizado nuestro ESET NOD32.

Jorge