Un colega de la scene, Alberto, nos reportó su breve análisis de un reciente pharming que explota la confianza y fama que tienen los chismes del programa televisivo peruano Magaly TV. Aquí su hallazgo:
-Información entregada-
Lo subi a virustotal y ningun antivirus detecta nada anormal.
Pero ese archivo Video_Magaly.exe hace lo sgte
Agrega en el archivo hosts
C:\WINDOWS\system32\drivers\etc\hosts
69.64.39.58 scotiabank.com.pe
69.64.39.58 www.scotiabank.com.pe
69.64.38.211 bbvabancocontinental.com
69.64.38.211 www.bbvabancocontinental.com
69.64.38.211 www.bbvabancocontinental.com.pe
69.64.38.211 bbvabancocontinental.com.pe
69.64.38.254 viabcp.com:
69.64.38.254 www.viabcp.com
69.64.38.254 www.viabcp.com.pe
69.64.38.254 viabcp.com.pe
Y luego abre el sgte url :
www.elgonzi.com/2008/03/video-pelea-de-leysi-suarez-y-la-esposa.html
-FIN de información entregada-
El ejecutable tiene la ícono de un acceso directo a un VMW (Windows Media File), pero como señala Alberto modifica el archivo hosts.
Sin duda una forma de ataque más trabajada de los cibercriminales detrás de la banca peruana, ya que no deja a la víctima con la sin sazón de no ejecutar nada, sino que lo lleva a una web donde puede ver el video provocativo.
Agradecemos la información alcanzada por Alberto.
Importante: Eduque a sus usuarios, los antivirus no pueden ayudarlo (Ranking 0/32 al escribir este post).
JaCkSecurity
Conocimiento, Conciencia y Consultoría
Reporte técnico exhaustivo
