Un nuevo ataque de phishing, cuyo principal objetivo es la entidad bancaria Banamex, ha sido detectado por nuestro Laboratorio en los últimos días.
El malware que intenta llevar a cabo esta modalidad de fraude es detectado por ESET NOD32 bajo el nombre de Win32/Qhost.AKN. Al ser ejecutado modifica el archivo hosts de los sistemas MS Windows agregando las siguientes direcciones web:
127.0.0.1 www.banamex.com
127.0.0.1 www.banamex.com
127.0.0.1 banamex.com
127.0.0.1 www.banamex.com.mx
127.0.0.1 banamex.com.mx
...
...
Esta técnica es denominada pharming local y es muy utilizada por la mayoría de los troyanos bancarios actuales. Por otro lado, Qhost.AKN no modifica el archivo hosts en el momento de ser ejecutado, sino que lo hace luego de reiniciar la PC; para lo cual, también agrega una clave en el registro del sistema que le permite mantener su proceso activo.
Si bien los ataques de phishing ya no suponen una novedad, quizás resulta interesante en este caso particular, el hecho de que el troyano crea una carpeta llamada win en la carpeta system32 alojando en la misma las páginas falsas.
A continuación podemos observar la página falsa y la página real respectivamente.
Los ataques de phishing reportados en Latinoamérica aumentan cada vez más en la eficacia de sus técnicas, por tal motivo es muy importante que como usuarios conozcamos las diferentes vetas del phishing y adoptemos las medidas de seguridad básicas que nos permitan detectar a tiempo estas amenazas.
Del mismo modo es necesario denunciar los casos de phishing desde las opciones incorporadas en los navegadores de Internet (browser), o a través de sitios como www.antiphishing.org.
Jorge
