¿Por Qué No Te Callas?" Reclamo Para Troyano Bancario
-------------------------------------------------------------------
Hispasec - una-al-día 21/11/2007
Todos los días una noticia de seguridad
www.hispasec.com
-------------------------------------------------------------------
"¿Por qué no te callas?" reclamo para troyano bancario
------------------------------------------------------
Era de esperar. Hace unas horas se ha realizado un envío masivo de un mensaje que invita a visualizar un supuesto vídeo en Youtube. El reclamo en esta ocasión es reproducir el célebre incidente entre el Rey de España y el Presidente de Venezuela.
Con el remitente "youtube@you-tube.com.mx" y el asunto "Esto causa sensacion", nos llega un mensaje de correo en HTML donde anuncia que YouTube Mexico presenta "El ¿Por qué no te callas? Del Rey, toda una revolución... ¡No te pierdas el vídeo!", incluyendo una imagen del momento del incidente y varios enlaces al supuesto vídeo.
Una captura de pantalla del mensaje puede observarse en:
http://blog.hispasec.com/laboratorio/257
Una vez el usuario pincha en alguno de sus enlaces, en vez del vídeo, comienza la descarga del ejecutable "ultimovideo.exe". En el momento inicial de la distribución, este malware era detectado por 10 motores antivirus tal y como se puede apreciar en el siguiente informe de
VirusTotal:
http://www.virustotal.com/resultado...a7f01043a7bf559
Las detecciones de los antivirus son genéricas o por heurísticas, no se han publicado aun firmas de detección específicas, de ahí que el nombre dado por los antivirus no ofrezca muchas pistas sobre la funcionalidad del troyano.
Un análisis rápido en el laboratorio de Hispasec revela que el troyano va dirigido a capturar las credenciales de acceso de los clientes del servicio BancaNet de la entidad Banamex.
El método que utiliza el troyano no está basado en keyloggers ni en la captura de los datos transmitidos a través del navegador, sino que crea un formulario/aplicación de autenticación con una pequeña ventana que se superpone justo encima del navegador, tapando el formulario legítimo. De esta forma el troyano recoge directamente los datos introducidos por el usuario y se los envía al atacante por e-mail.
Cómo suele ser costumbre, recomendar a los usuarios que no visualicen los mensajes de spam y, mucho menos, visitar los enlaces que incluyen, por muy sugerentes que puedan ser los reclamos.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3315/comentar
Bernardo Quintero
Foro 
