Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/09/2011
Postal falsa como gancho para infectar el equipo y el router
El phishing de las postales Gusanito es uno de los clásicos a la hora de robar contraseñas, las víctimas reciben una supuesta postal por correo y para verla deben ingresarla en una página falsa que simula ser la de Hotmail, Gmail, etc.
Algunos ataques más elaborados no se limitan al correo falso e incorporan una página falsa que parece ser la de Gusanito, hace algunas semanas comenté un caso que intentaba propagar un troyano camuflado en una supuesta actualización de Flash Player.
Allí se ejecuta automáticamente una aplicación de Java maliciosa que modifica el archivo hosts de Windows para realizar redirecciones hacia páginas falsas de los bancos más conocidos. ¿Qué pasa con esto? si una víctima intenta acceder a su banco como lo hace siempre, en realidad estará cargando una página falsa y la URL que verá en la dirección será la del banco!
Este tipo de ataques son muy comunes y se denominan pharming local.
Pero esto no es todo, la página falsa de Gusanito también ejecuta un script que aprovecha una vulnerabilidad conocida de los routers 2wire de Telmex para realizar el mismo ataque de pharming, de esta forma si la víctima no se infecta localmente con Java, podría ser afectada desde el router y lo que es peor, todos los equipos de su hogar estarían cargando páginas falsas.
Leer noticia completa en SpamLoco
Leer información original desde el blog del UNAM-CERT