El equipo del UNAM-CERT de México comunica, todo comienza desde el envio de un correo al usuario ya sea a hotmail, Gmail etc.
Al seguir cualquier de los enlaces del correo, el usuario era redirigido hacia el documento 756.html ubicado dentro de un dominio en Argentina.
http://
Si en el equipo no se encontraba el Java Runtime Environment, el navegador mostraba un mensaje indicando qué plug-ins adicionales eran necesarios para mostrar todo el contenido de la página. Este plug-in correspondía al JRE.
Otro tipo de advertencia que mostraba el navegador al ingresar al sitio anterior, se muestra en la siguiente imagen. En este caso, en un equipo Windows XP sin el JRE, se desplegó el siguiente mensaje, pero al monitorear su actividad, éste no realizó algo sospechoso.
Por otro lado, en un equipo con el JRE instalado, el comportamiento fue diferente. En un primer momento, la página empieza a cargar y el icono de java aparece en la barra de tareas, junto a la hora del sistema. Posteriormente, ninguna actividad aparente se detecta.
Despues que se ejecuto la aplicacion maliciosa en java está infecto archivos de host en windows con el fin de realizar redirecciones hacia páginas falsas de los bancos más conocidos.
Si una víctima intenta acceder a su banco como lo hace siempre, en realidad estará cargando una página falsa y la URL que verá en la dirección será la del banco.
Este tipo de ataques son muy comunes y se denominan pharming local.
Pero esto no es todo, la página falsa de Gusanito también ejecuta un script que aprovecha una vulnerabilidad de los routers 2wire de Telmex para realizar el mismo ataque de pharming, de esta forma si la víctima no se infecta localmente con Java, podría ser afectada desde el router y lo que es peor, todos los equipos de su hogar estarían cargando páginas falsas.
En el blog del UNAM-CERT podrás encontrar un análisis detallado del ataque y más capturas.
¿Cómo evitar estos ataques?
Tener Java actualizado es fundamental, un equipo con una versión de Java vulnerable puede ser infectado por el simple hecho de visitar una página especialmente diseñada, incluso equipos Linux y Mac pueden ser víctimas de estos ataques.
En el caso del router, hay varias cosas que se pueden hacer como no utilizar las contraseñas que vienen por defecto, tener la red WiFi protegida con contraseña WPA/WPA2, restringir el acceso por medio de un firewall, bloquear la administración remota para que su configuración se pueda realizar sólo desde un equipo seguro y por supuesto, verificar que el firmware sea el último disponible por el fabricante.
0 comentarios:
Publicar un comentario