ESET detectó troyano bancario en Venezuela

En días recientes se detectó un ataque que fue reportado al Laboratorio de ESET Latinoamérica desde ESET en Venezuela. El ataque comienza con la propagación de un correo falso que dice provenir del SENIAT (Servicio Integrado de Administración Aduanera y Tributaria),  haciendo uso de la Ingeniería Social la posible víctima puede seguir el enlace a una página maliciosa que lleva a la descarga de esta amenaza. Una vez que el usuario recibe el correo y cae víctima del engaño sigue en enlace que lo lleva a la descarga de un archivo que supone ser un PDF, pero que en realidad tiene una doble extensión: seniat.pdf.exe.

Ante la curiosidad del usuario, quien desea conocer las posibles novedades acerca de temas de índole jurídica y de impuestos de su país, puede pasar por alto que este archivo cuenta con una doble extensión y ejecutar el mismo. Al hacerlo en realidad no estaría abriendo un PDF sino un troyano detectado como Win32 Qhost.NHN por ESET NOD32 Antivirus. Esta muestra se encuentra empaquetada con una variante de UPX para dificultar su análisis.

Según Pablo Ramos, Especialista en Awareness & Research de ESET “La amenaza esta diseñada para modificar el archivo host del sistema y de ese momento en adelante, cuando el usuario quiera acceder a la página de su banca electrónica en realidad estará accediendo a una página falsa en la que sus datos podrían ser robados por el atacante”.

 Como se puede observar en la captura la página es muy similar a la original y lleva al usuario a creer que realmente esta accediendo al sitio oficial, sin siquiera pensar que está siendo víctima de un ataque de phishing. Una vez que intente iniciar sesión sus datos caerán en manos del atacante. Para no levantar sospechas, luego de que el usuario ingresa la información de su tarjeta de crédito aparece el siguiente mensaje donde se indica que “la tarjeta no es válida”

 “Esta amenaza es detectada a través de la heurística avanzada de ESET NOD32 Antivirus, ya que al momento de reportar la muestra la misma no era detectada por gran parte de los motores antivirus”, aseguró Ramos

 Gustavo Quiñones, Gerente de Capacitación de ESET Venezuela y miembro del equipo que detectó esta amenaza informática explico que “La detección por heurística se basa en un conjunto de reglas que se usan para detectar el comportamiento de los programas maliciosos sin necesidad de identificar de forma exclusiva a la amenaza específica. Con este sistema se elaboran patrones y firmas inteligentes que permiten detectar múltiples códigos maliciosos con una sola firma. De esta manera se ofrece al usuario una protección proactiva”.

 Ramos culminó diciendo que “Latinoamérica ya no es una región receptora de códigos maliciosos y este caso es un claro ejemplo de que hoy en día se están desarrollando ataques informáticas regionales en dónde mediante la combinación de malware e Ingeniería Social se propagan ataques dirigidos como este caso reportado en Venezuela. En un trabajo en conjunto con el equipo técnico del distribuidor de ESET en Venezuela y el Laboratorio de análisis e investigación de ESET Latinomaérica se ha reportado, analizado e informado acerca de un nuevo ataque en la región”.

 Para mayor información puede visitar el blog del Laboratrio de ESET Latinoamerica

http://blogs.eset-la.com/laboratorio/2011/06/30/troyano-bancario-venezuela/