SEGURIDAD | Noticias | 28 FEB 2007

Un sofisticado ataque de "pharming" toma como objetivo a 50 bancos

La semana pasada se difundió un nuevo ataque contra los clientes online de al menos cincuenta entidades financieras de Estados Unidos, Europa y Asia-Pacífico. Finalmente, el ataque ha sido neutralizado.
CIO
Lo más destacable de este ataque reside en el enorme esfuerzo que los hackers dedicaron a su elaboración. Construyeron un sitio Web similar e independiente para cada institución financiera tomada como objetivo, según Henry González, investigador de seguridad senior de Websense.

Los atacantes intentaban seducir al usuario para que visitara un sitio Web donde se hospedaba el código malicioso diseñado para explotar una vulnerabilidad crítica descubierta el año pasado en el software de Microsoft (http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx). Esta vulnerabilidad, para la que Microsoft ya había publicado el parche correspondiente, resulta especialmente peligrosa dado que para infectar al usuario sólo requiere que éste visite el sitio Web donde se encuentra el código-

Una vez conducido al sitio Web falso, el ordenador no parcheado para la vulnerabilidad descargaba un troyano en un archivo denominado ?iexplorer.exe?, que a su vez introducía en la máquina cinco ficheros adicionales desde un servidor ubicado en Rusia. Los sitios Web desplegaban sólo un mensaje de error y recomendaban al usuario desactivar su firewall y software antivirus.

Pasando inadvertido
Si el usuario con el PC infectado visitaba entonces cualquiera de los sitios de banking objetivo de los ataques, era redirigido a una imitación de los auténticos donde se recogían sus credenciales de entrada y desde el cual éstas se transferían al servidor de Rusia. El usuario era a continuación devuelto al sitio legítimo donde ya se había autenticado, lo que hacía el ataque imperceptible.

Esta técnica es un ejemplo típico de ?pharming?. Esta clase de ataques, al igual que los de phishing, suponen la creación de sitios Web falsos que imitan otros auténticos y que pretenden así engañar a las víctimas para que, creyéndose en un entorno seguro y de confianza, faciliten su información personal. Pero, mientras que los ataques de phishing animan a las víctimas a pinchar en vínculos ?que supuestamente corresponden a la organización con la que el usuario desea comunicar- dentro de mensajes de spam para dirigirlas al sitio falsificado, el pharming las conduce a él incluso si teclean la dirección auténtica en la barra de su navegador.

Las Webs que albergaban el código malicioso, localizadas en Alemania, Estonia y Reino Unido, han sido desmanteladas ya por los ISPs, como también los sitios falsos diseñados a imagen de las entidades financieras.

De momento no está claro cuántas personas pueden haber resultado perjudicadas por los ataques, que se mantuvieron activos durante al menos tres días. Websense dice no haber tenido noticia de ninguna víctima de robo en sus cuentas. Pero ?también es cierto que a la gente no le gusta hacer públicos este tipo de problemas cuando ocurren?, indica González.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información