Troyano que roba información de cuentas en Banamex (México)
Jueves 30 de Agosto del 2007 1:11Recibà ya muy tarde un correo bastante interesante, en el que me invitan a probar la nueva interfaz “Fluent” de Microsoft Office 2007, y que puedo optar por instalar una demostración interactiva por 6 meses totalmente gratúita, el tÃtulo del mensaje es Demostracion Interactiva de Office 2007 y el remitente Microsoft Office [mailto:servicios@microsoft.com], pueden ver una imágen del correo acá:
Cómo dato curioso, el ejecutable es en sà un troyano, que se encarga de redireccionar hacia la IP 208.53.133.68 las conexiones que la pc haga hacia los sitios www.banamex.com, banamex.com.mx, www.bancanetempresarial.banamex.com.mx, boveda.banamex.com, todo esto por medio del archivo hosts que se encuentra en C: \windows\system32\drivers\etc\ (al parecer ni siquiera se preocupan por averiguar la ruta correcta del archivo, como en mi caso que se encuentra en E:\winnt\system32\drivers\etc), asà que quizá no funciona en windows NT ni 2000, otra curiosidad es que nos muestra el archivo http://www.itesm.mx/sorteotec/documentos/lista-ganadores-152.pdf (una lista de ganadores de un sorteo del TEC de monterrey del 2003). Además parece ser que el troyano tiene la capacidad de agregar más sitios que suplantar por medio del archivo host, ya que baja una lista del sitio http://cirux.org/datos.txt al que seguramente van a ir agregando más contenido.
El lenguaje de programación fue Visual Basic 6. al parecer evolucionó de un supuesto sorteo del tec hacia esta nueva versión.
Mucho cuidado sà reciben este correo :), Ni Microsoft, ni ninguna empresa seria enviarÃa correos con links a descargas a un archivo Exe directamente, y menos hospedado en un servidor que no tiene nada que ver con la compañia, (en este caso el ejecutable está hospedado en http://www.britaintown.com/gallery/admin/ bajo un nombre indicando “Demostracion Interactiva Office.Exe” (el nombre fue cambiado ligeramente para evitar que algún incauto de clic y se infecte) ). Ningún antivirus detecto el archivo ejecutable como peligroso, asà que ojo.
Actualización: parece ser que ya han hablado de troyanos como este en Hispasec, quizá y sea del mismo autor.
No Responses to “Troyano que roba información de cuentas en Banamex (México)”
Care to comment?