Ayer vimos un mensaje circulando que pretendía mostranos un video del desastre tras el terremoto y el posterior tsunami. Incluía un link al supuesto video, que en realidad era un fichero ejecutable:
http://<>/consulado/japones/urgente/desespero-da-equipe-de-resgate-ao-encontrar-milhares-de-corpos-816283hDGJDj36378.youtube.com-AVI.exe
Es un downloader, un troyano que se descarga e instala más malware un nuestro ordenador. También se descarga un fichero HOSTS y sobrescribe el de nuestro ordenador para redirigir a nuestro navegador al intentar visitar cualquiera de las siguientes páginas:
www.banespa.com.br
banespa.com.br
www.santander.com.br
santander.com.br
caixa.com.br
www.cef.gov.br
cef.gov.br
www.cef.com.br
www.caixa.gov.br
caixa.gov.br
www.caixa.com.br
live.com
www.live.com
www.msn.com
cef.com.br
internetbanking.caixa.gov.br
internetbanking.caixa.com.br
internetbanking.cef.gov.br
internetbanking.cef.com.br
www.e-gold.com.br
e-gold.com.br
www.e-gold.com
e-gold.com
www.bradescoprime.com.br
www.cetelem.com.br
cetelem.com.br
www.cartaoaura.com.br
msn.com
www.msn.com.br
login.live.com
cartaoaura.com.br
bradescoprime.com.br
www.itaupersonnalite.com.br
itaupersonnalite.com.br
americanexpress.com.br
www.sicredi.com.br
sicredi.com.br
portal.sicredi.com.br
www.realsecureweb.com.br
realsecureweb.com.br
www.hotmail.com
hotmail.com
www.americanexpress.com.br
www.americanexpress.com
www.real.com.br
www.bancoreal.com.br
real.com.br
bancoreal.com.br
www.hotmail.com.br
hotmail.com.br
itau.com.br
www.itau.com
itau.com
imagem.caixa.gov.br
imagem.caixa.com.br
imagem.cef.gov.br
imagem.cef.com.br
www.bradesco.com.br
bradesco.com.br
www.bradesco.com
bradesco.com
www.itau.com.br
www.realsecureweb.com.br
Echando un vistazo a la URL donde se encontraba el fichero HOSTS, hemos encontrado otro directorio en el mismo servidor con contenido altamente sospechoso:
Esto es lo que vemos al visitar algunas de estas carpetas:
Se trata de páginas de phishing para robar nuestras credenciales. No os preocupéis por este, ya que desde ayer bloqueamos las URLs y el malware era detectado proactivamente con nuestras tecnologías TruPrevent.
Si realmente queréis ayudar a nuestros amigos japoneses, haced click aquí.
2 comments
Hola, curiosamente me sucedio lo q relatas aca (abri un link en msn y luego me secuestraon el hotmail, etc x pag fake en portugues) .. lo curioso es que tenemos Panda Cloud Office Protection …. no era que su tecnologias detenian el ataque…ya contacte con soporte .
Pero me parece curioso que buscando infor del virus me tpe con una pagina de panda que alerta de este, pero que no detecta.
que sucedio???
Hola Jose, sin tener todos los datos es difícil decirlo. Por lo que comentas te llevó a una página falsa en la que introduces tu información y así te secuestran la cuenta. Si este es el caso no hay un virus o troyano que te haya robado la información, por lo que no habría opción de detectarlo. En cualquier caso no debemos confiar en que el antivirus vaya a detectar el 100% de todos los nuevos virus que aparecen desde el momento cero. Sí es cierto que detectará la mayoría, pero apareciendo una media de más de 73.000 nuevos al día es posible que cuando nos llegue uno nuevo el antivirus aún no lo detecte. Es por esto que es muy importante prestar atención a la información sobre las amenazas que se están distribuyendo, ya que principalmente utilizan técnicas de ingeniería social para engañarnos, y si sabemos por dónde nos vienen será mucho más fácil evitar disgustos 🙂