Luego de nuestro informe sobre las postales de amor falsas (el archivo en el servidor de Colombia ya ha sido dado de baja), hemos analizado el archivo amor.exe descargado y nos hemos encontrado con un Phishing a 5 entidades bancarias argentinas a través de la modificación del archivo hosts del sistema, ubicado en c:\windows\system32\drivers\etc.
Las modificaciones realizadas a dicho archivo se ven a continuación:
Al momento de escribir esto hemos podido constatar que la dirección IP ya no contiene los sitios falsos.
De todos modos el troyano está preparado para descargar el archivo modificado desde un sitio gubernamental de Brasil:
Es decir que el delincuente tiene acceso a ese sitio y cuando modifique las direcciones IP, todas los sistemas infectados podrían acceder al home-banking falso. A continuación se ve la conexión realizada por el ejecutable al sitio mencionado:
Evidentemente quien ha escrito este troyano en VisualBasic ya tiene todo lo necesario para seguir realizando estos ataques, por lo que esta experiencia debe servir de advertencia porque pronto aparecerán nuevos sitios falsos activos, alojados en otras direcciones IP.
Sería bueno que los usuarios y las entidades bancarias tomen las medidas preventivas necesarias.
Nota: una curiosidad del archivo ejecutable es que se ven enlaces a sitios relacionados con productos farmacéuticos falsos.
Fuente: Cristian de la Redacción de Segu-Info
