La muerte de Amy Winehouse, troyanos en Brasil y contraseñas de Hotmail

De igual manera que la semana pasada, en dónde se utilizó a la presidenta de Brasil para propagar troyanos bancarios a través de correos electrónicos falsos. Durante el fin de semana se detectó una nueva campaña que utiliza la muerte de la cantante británica, Amy Winehouse, para el mismo objetivo.

En esta ocasión el asunto del correo electrónico decía:"Agencia de noticias inglesa divulga foto exclusiva do corpo de Amy Winehouse ao ser encontrada. Bebidas e possiveis drogas sao vistas com clareza" (En español: Una agencia de noticias publica una foto exclusiva del cuerpo de Amy Winehouse. Se pueden apreciar bebidas y posibles drogas.).

Pero existe un punto a remarcar acerca de este ataque y , es que en el archivo hosts, utilizado para el redigir al usuario a páginas falsas de sitios bancarios, esta amenaza también cuenta con una página falsa de Hotmail, en dónde se roban las credenciales de acceso de los usuarios, pero ¿cómo sucede esto?

Cuando el equipo se infecta con esta amenaza, detectada por ESET NOD32 Antivirus como Win32/Qhost.OFS, se modifica el archivo del sistema el cual contiene las siguientes líneas:

Una vez que este archivo se encuentra modificado, cuando el usuario intenta acceder a cualquiera de estos cuatros dominios, se encuentra con una página falsan en dónde, mediante el uso de Ingeniería Social, cree estar accediendo al sitio oficial de su correo electrónico.

Sin embargo, la página que se observa a continuación es falsa, y cuando el usuario ingrese sus credenciales, las mismas serán obtenidas por los atacantes:

En el momento en el que el usuario cae víctima de este engaño, en realidad sus credenciales son obtenidas por los atacantes, quienes luego puede acceder a su cuenta para propagar otra campaña de esta misma amenaza, solo modificando el asunto del correo con cualquier asunto que llame la atención de los usuarios.

La información robada es almacenada en el mismo servidor web al cual el usuario es redirigido. De esta manera, se obtienen direcciones de correo válidas para seguir propagando códigos maliciosos, con el objetivo de obtener información bancaria.

Los archivos son almacenados con la fecha en la cual se efectúo el acceso al sitio falso y el robo de las credenciales. Es por ello que desde el 21 de julio hasta hoy, 25 de julio, se han creado más de 10.000 archivos de texto conteniendo los datos de accesos a cuentas de Hotmail.

En resumen, podemos ver como una nueva campaña de propagación de esta amenaza, que sigue utilizando la temática del momento, y ha logrado tantas víctimas, simplemente a través de la explotación de una característica de la personalidad humana, como la curiosidad.

Para evitar caer víctimas de este tipo de amenazas, además  de contar con una solución antivirus con capacidad de detección proactiva, es recomendable que lo usuarios cuenten con buenas prácticas para navegar en Internet, como así también para el uso del correo electrónico.

Pablo Ramos
Especialista en Awareness & Research