A lo largo de la vida de este Blog, fueron muchos los spam que bajo la cobertura de provenir de una importante empresa o medio de comunicación, o bien la promesa de visualizar un video sobre alguna tragedia o noticia importante, fueron creados pensando en usuarios desprevenidos con intenciones maliciosas de propagar malware.

Casos como la falsa actualización de Microsoft, el de Coca-Cola, la supuesta muerte de Verónica Castro, de Felipe Calderón o Fidel Castro, son algunos pocos ejemplos. Ya casi no sorprende ver alguno de ellos, de hecho, los esperamos cada vez que una noticia recorre, en pocos minutos, la mayoría de las cadenas de comunicación a nivel mundial.

En esta oportunidad, la temática elegida fue una amenaza por parte de supuestos narcotraficantes. A continuación les dejo una captura:

Como podrán apreciar, no es más que otro engaño que desde ahora forma parte de la gran lista. El supuesto video que se promete es en realidad un troyano del tipo Banker, detectado por ESET NOD32 como BAT/Qhost.NAM, diseñado para ataques de phishing a través de pharming local.

Lo aconsejable es que aquellos usuarios que reciban correos de este estilo lo eliminen directamente. Jamás se debe hacer clic sobre los enlaces incrustados en el cuerpo del mensaje porque, como se ve en la imagen, se descarga algo diferente a lo prometido.

FUENTE

En las últimas horas nuestro Laboratorio ha recibido correos con mensajes que simulan provenir de la red social Orkut, pero que en realidad tienen el objetivo de engañar al usuario para que este descargue un malware a su equipo.

Como puede verse el enlace conduce a un sitio que no pertenece a Orkut y, al hacer clic se descarga un archivo llamado Msg_111200310.scr. La extensión .scr en realidad es un archivo ejecutable renombrado que procede a infectar el equipo con un troyano que ESET NOD32 detecta como Win32/Agent.ETH.

FUENTE

Le informa al usuario que se ha activado una copia de Windows con el mismo código que la suya. Para asegurar que su copia es la legal, solicita se introduzcan ciertos datos para asegurar que su copia es la legal.

KardPhisher.A es un troyano que se hace pasar por un mensaje de Windows para robar información confidencial. El proceso es el siguiente: una vez ha infectado un ordenador, el troyano crea un archivo con nombre “keylog.dll” que se encarga de capturar la información del teclado. A continuación, y para asegurarse de que el usuario introducirá alguna información “rentable”, el troyano muestra, tras el siguiente reinicio del PC, una ventana que simula ser un mensaje de Windows. En ese mensaje se dice al usuario que se ha activado una copia de Windows con el mismo código que la suya. Para asegurar que su copia es la legal, se le pide al usuario que introduzca ciertos datos.

“La trampa está en que el usuario no se puede negar a introducir los datos. Incluso, si el usuario pulsa sobre la opción “No, I will do it later” (no, lo haré más tarde), el ordenador se apagará, volviendo a mostrar el mismo mensaje, si el usuario lo reinicia”, explica Luis corrons, Director Técnico de PandaLabs.

Si ante la imposibilidad de hacer otra cosa, el usuario decide seguir adelante, el troyano le mostrará una nueva ventana en la que se le pedirán datos personales como el número de la tarjeta de crédito, el e-mail y el código CVV.

El troyano comprobará que la dirección de correo electrónico tiene una arroba o que el número de la tarjeta de crédito tiene el número de dígitos correctos.

“Sin embargo, no es necesario que esos datos sean reales. Es decir, podemos inventarnos la dirección de correo y el número de tarjeta. De esta manera, no estaremos dando datos confidenciales y lograremos utilizar, de nuevo, nuestro ordenador de forma correcta”, asegura Luis Corrons.

“El riesgo está”, continúa el Director Técnico de PandaLabs, “en que alguien mal informado proporcione datos reales, ya que la información suministrada por el usuario es enviada, inmediatamente, al creador del troyano a través de una página web”.

Fuente: DiarioTI