Estos últimos días ha aparecido una nueva amenaza en la región. El analista de seguridad José Dos Santos Torrijos ha descubierto una nueva botnet orientada a atacar usuarios mexicanos, la cual está alojada en un sitio gubernamental de México. La amenaza permite a un atacante tomar control de la computadora del usuario, robar información, espiar archivos confidenciales, entre otros.
La botnet fue encontrada en el sitio http://ventas[ELIMINADO].com/sistemados/Microsoft.exe, y se hacía pasar por un archivo para Windows. Al descargar esta amenaza, la víctima, además de pasar a ser parte de una red botnet, se le estarán robando sus datos personales y demás información confidencial como las credenciales bancarias. Esto lo hace al capturar los datos escritos por el teclado de la víctima al momento de ingresar a ciertos sitios. Esto se realiza gracias a palabras claves indicadas en http://www.[ELIMINADO].mx/imagenes_noticias. Estas palabras claves son, en su mayoría, para adquirir datos de bancos de México.
Como se puede observar en la captura, el grupo que aparentemente gestiona la botnet se identifica bajo el nombre de Malandrines. Adicionalmente, la amenaza permite la modificación del archivo hosts del equipo, lo que significa que realiza un ataque de Phishing a determinados bancos mexicanos a través de Pharming Local. De esta forma, cuando el usuario visite los bancos en cuestión estará siendo redireccionado a la página maliciosa del atacante en donde sus credenciales serán capturadas.
Otra utilidad de este malware es la de descargar otros archivos maliciosos, lo cual permite mantener a la botnet actualizada de manera continua. Esta funcionalidad también llevaría a la descarga de otros códigos maliciosos.
Al ingresar al panel de control se puede observar un informe de todos los equipos zombis, donde se incluye información detallada de los datos de las víctimas, pudiendo filtrar ya sea por el usuario o por la entidad a la cual este ha ingresado.
En la imagen anterior, pueden visualizar el análisis del archivo con una herramienta de extracción de textos donde se puede observar los sitios con los cuales se encuentra vinculada la amenaza, además, las plataformas en donde opera y los archivos que modifica.
El equipo de Laboratorio de ESET en Latinoamérica se encuentra analizando el ataque. La amenaza ya es detectada por ESET NOD32 como MSIL/Spy.Agent.BD troyano, no solo el archivo publicado originalmente (Microsoft.exe), sino también el dropper de la amenaza (el archivo que descarga la amenaza real desde Internet) y otra variante que se propagaba con el nombre "AztecaNoticias_Setup.exe".
Estas amenazas siguen teniendo fuerte presencia en América Latina como hemos estado informando últimamente en nuestro blog. Es importante recordar que este tipo de ataques podría generar muchos ingresos a través de sus operaciones ilícitas. Les recomendamos a todos nuestros lectores de México estar atentos ante esta nueva amenaza, así como también sugerimos a los usuarios de los demás países de Latinoamérica, estar atentos por si se realizan ataques de Phishing en otros países de la región. Frente a cualquier inconveniente que se les presente, no duden en comunicarse con el banco antes de ingresar las credenciales bancarias en un sitio inseguro.
Gonzalo Presa
Analista Jr. de Seguridad
