PACs maliciosos y Bitcoins

0

Ahora los cibercriminales de Brasil también están interesados en la moneda de cambio “Bitcoin“. Con el objetivo de unirse a la horda de phishers en la búsqueda de moneda virtual han aplicado su mejor técnica maliciosa: PAC maliciosos en ataques vía web y dominios dedicados al phishing.

El empleo malicioso de PAC (Proxy Auto Config) entre los hackers “black hat” (destructivos) brasileños no es algo nuevo -se conoce desde el año 2007-. Generalemente, este tipo de scripts son usados para redirigir la conexión de la víctima hacia una web que realiza phishing sobre bancos, tarjetas de crédito, etc. En 2012 un troyano bancario ruso llamado Capper también comenzó a usar esta técnica. Cuando se usa en ataques dirigidos por descarga se muestra muy efectiva.

Después de registrarse en el dominio java7update.com, los criminales brasileños empezaron a atacar varias webs, insertando un “iframe” malicioso en algunas de las páginas comprometidas: 

Este iframe carga un applet de Java modificado y preparado para cambiar la configuración del Proxy en navegadores web como Internet Explorer o Firefox. La url usada en el ataque aputna hacia un archivo llamado update.pac que tiene este aspecto: 

En un intento de superar la detección basada en firmas (del antivirus), el script usa múltiples concatenaciones. Una vez limpio tiene este aspecto:

Tened en cuenta que entre los sitios web de bancos brasileños y compañías de tarjetas de crédito que están en el punto de mira del script, está el dominio mtgox.com, el más extendido en cuanto al mercado de moneda Bitcoin. Esta página no existe en Brasil, pero aun así es resuelta en las máquinas infectadas, por supuesto, apuntando hacia una página dedicada al phishing: 

Bitcoins

En un ordenador limpio, el acceso al dominio mtgox.com muestra lo siguiente: 

El objetivo aquí está claro: redirigir a las víctimas hacia una página que aparenta ser mtgox.com para robar sus credenciales y, por extensión, un puñado de Bitcoins. Ésta es una de las páginas falsas empleadas en el ataque. Si sois visitantes habituales de este dominio, recomendamos activar la autenticación en dos pasos de vuestra configuración de cuetna, para evitar caer en este tipo de trampa.

El PAC malicioso es detectado como Trojan.JS.Redirector.za.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR