Eurocopa 2012, los cibercriminales no faltan a la cita.

Los cibercriminales no han perdido el tiempo en esta Eurocopa 2012 y han intentado diversas formas de atraer usuarios incautos para sacarles información confidencial, principalmente bancaria.

El intento más llamativo la suplantación del dominio de la web oficial de la Uefa Euro 2012, siendo esta redirigida a varios sites de estafas de encuestas y páginas de seguimiento de anuncios.

uefa euro 2012

Varios dominios plagados de amenazas

Empleados de la empresa Trend Micro que realizaban una investigación para anticiparse a este tipo de fraudes, descubrieron el site {BLOCKED} uro2012.com que trataba de suplantar al original http://www.uefa.com/uefaeuro/. Entre el malware descubierto se encuentra:

1. –FAKEAV-, TROJ_FAKEAV.HUU: Troyano que simula ser un antivirus, nos ofrece analizar nuestro sistema en busca de amenazas mostrando un resultado de infección y solicitando la compra del software y su activación.

2. La ”página de activación” del software mencionado no es más que una página de phishing diseñada para engañar a los usuarios con el fin de que faciliten información personal y números de tarjetas de crédito. TROJ_FAKEAV.HUU también se ha encontrado para desactivar los navegadores web (Internet Explorer, Mozilla Firefox y Google Chrome).

http://{BLOCKED}0.0.236.23/
http://{BLOCKED}7.{BLOCKED}9.255.25/

3. En este dominio también se ha encontrado el fichero TROJ_DLOADR.BGV, que conecta a tres direcciones diferentes para descargar una variante de ZBOT (TSPY_ZBOT.JMO) ZBOT y sus derivados sirven para robar credenciales en banca on-line.

Falso antivirus fakeav.huu4. Black-hat SEO, otra herramienta: para ello los ciber-criminales se sirvieron del partido del pasado día 21 de Junio entre Portugal y R. Checa.

Cuando el internauta buscase “Ver Portugal vs República Checa en directo”, el site malicioso aparecía como uno de los primeros resultados de la búsqueda. Al hacer click en el enlace, el usuario era redireccionado a una página de “ofertas de vídeo” en lugar de a la retransmisión del partido. En el momento que el usuario clickase en la oferta era redirigido a páginas afiliadas al site dedicadas al rastreo de la ubicación del usuario y de su dirección IP. De este modo, el estafador gana dinero con tan sólo utilizar detalles como la página de visitas a sus anuncios. Más sobre esta tecnica (en inglés): http://websearch.about.com/od/seononos/a/spamseo.htm

Otro ataque de este tipo tuvo lugar en el partido entre Italia e Inglaterra del día 24 de junio. El site {BLOCKED} glandvsitalylivestreameuro2012online.com redirigía el tráfico a una página de encuestas-estafa que a su vez estaban conectadas a otros sites de rastreo.

5. Facebook Clickjaking (secuestro de clicks): una herramienta tan popular como Facebook no ha sido olvidada por los atacantes. la vulnerabilidad estaba alojada en una falsa extensión del Chrome Web Store. Según el analisis del laboratorio Trend Micro, al ejecutar el complemento el usuario era redirigido al sitio web http://www.{BLOCKED}linetv.biz/livesports.php que también tiene como objetivos rastreo de anuncios y abonados.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.