Póstumo a que en meses pasados Trend Micro dio a conocer un reporte sobre un nuevo ataque de phishing (suplantación de identidad) que se originó en México, la firma de seguridad indica que la mejor forma de evitar ataques informáticos en nuestra empresa es mediante la educación de los empleados.
Leonardo Castro, Director de Trend Micro México señaló que los ataques informáticos se han extendido mediante redes de profesionales dedicados al cibercrimen, debido a que sus actividades son más lucrativas que el mismo narcotráfico, lo que genera millonarias cantidades de dólares por el robo de información y los llamados Botnets.
Como en una empresa de manufactura pero dedicada a la ilegalidad, el proceso comienza con un cibercriminal que se encarga de generar los códigos maliciosos, otro las pantallas, otros sustraen la información y otros la venden, mismos componentes que se pueden encontrar en mercadolibre.com al mejor postor.
Respecto al tema de los botnets, el ejecutivo explico que el ataque originado en México aprovechó la controversial noticia de la supuesta desaparición de una niña de 4 años, Paulette Gebara Farah, quien días más tarde fue hallada sin vida en su propia recámara. Tras realizar investigaciones, Trend Micro encontró que este ataque provenía de un botnet mexicano y que intentaba robar información financiera de los usuarios.
Este ataque es otro ejemplo de cómo los delincuentes cibernéticos se enfocan en la comunidad de banca en línea, un recurso cada vez más usado en Latinoamérica para extorsionar a las personas y robarles dinero e información financiera.
Los usuarios que siguieron la noticia arriba mencionada fueron víctimas de este ataque al visitar la página http://www.knijo.{BLOCKED}0.net/fotografias-al-desnudo-de-la-mama-de-paulette.htm, la cual contiene un artículo sobre Paulette y prometía mostrar fotos de su mamá desnuda. Cuando el usuario accede a esta página, aparece una ventana de diálogo falsa y pide al usuario que descargue e instale Adobe Flash Player.
Si el usuario da clic en Ejecutar se descarga el archivo video-de-la-mama-de-paulette.exe, el cual de hecho, es el programa de cliente de un bot que detectó Trend Micro como TSPY_MEXBANK.A.
Durante la investigación, fue posible tener acceso a la interface de comando y control (C&C) del botnet y conocer más sobre sus funciones administrativas y capacidades de este nuevo botnet:
De esta forma, fue posible saber a través del menú bot el número total de zombis y una lista de las computadoras en riesgo. A su vez, la lista de zombis muestra el número de ID, nombre del cliente y la acción ejecutada en un bot. También cuenta con opciones para habilitar o deshabilitar un bot, comenzar un netcat (una poderosa herramienta de red que se puede usar como puerta trasera) en un bot y eliminar el bot del botnet.
Este botnet denominado Tequila cuenta con una completa serie de características que se pueden comparar con otras familias de botnets más antiguas y establecidas. Cada característica se coloca en su propio “módulo”, el cual puede configurar el botnet herder (creador de la red de bots) uno por uno.
“No debería sorprendernos que un módulo de pharming (cosecha de contraseñas) sea parte de sus características disponibles, mencionó Juan Castro, Consultor de Trend Micro México. Como se puede ver en la imagen del módulo de phishing, este botnet en particular ataca a usuarios mexicanos, en especial en el sitio local de PayPal y el banco más grande del país, Bancomer.
Por si fuera poco, el botnet Tequila también puede descargar archivos desde varios URLs maliciosos, ya sea a través de HTTP o FTP. Se ha identificado que tanto los ladrones de información ZBOT como el malware FAKEAV son generados por esta nueva familia.
Sin embargo, los consumidores no son las únicas presas de los delincuentes cibernéticos detrás de este botnet. El módulo AdSense permite que se cargue un sitio de forma repetida con avisos publicitarios; los delincuentes cibernéticos usan esta técnica para elevar el tráfico de sus propios sitios, aumentando los pagos realizados a través de redes de publicidad como AdSense de Google.
Además de encontrarse en sitios web maliciosos, el botnet Tequila también puede atacar a través de dispositivos USB y MSN Messenger. El botnet envía mensajes que contienen ya sea un archivo (como un adjunto) o vínculos que dirigen a copias del malware.
Al parecer la ubicación del servidor C&C ya no está disponible, lo que en efecto advierte que se ha derribado este botnet. Sin embargo, si el desarrollador comienza una nueva campaña y distribuye nuevos archivos, el número de bots puede aumentar una vez más, obligando al desarrollador a crear nuevos módulos para el botnet en el futuro.
Para obtener más información, visite: http://blog.trendmicro.com/tequila-botnet-targets-mexican-users/#ixzz0yCcxhWWj
Con información de Trend Micro, Fernando Heredia
