Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/09/2011
Postal fals, com a ganxo per a infectar l'equipament i el router
La ciberpesca de les postals Gusanito és un dels clàssics a l'hora de robar contrasenyes, les víctimes reben una suposada postal per correu i per a veure han d'ingressar-la en una pàgina falsa que simula ser la de Hotmail, Gmail, etc.
Alguns atacs més elaborats no es limiten al correu fals i incorporen una pàgina falsa que pareix la de Gusanito; fa algunes setmanes vaig comentar un cas que intentava propagar un troià camuflat en una suposada actualització de Flash Player.
Allí s'executa automàticament una aplicació de Java maliciosa, que modifica l'arxiu hosts de Windows, per tal de realitzar readreces cap a pàgines falses dels bancs més coneguts. Què passa amb açò? Si una víctima intenta accedir al seu banc com ho fa sempre, en realitat estarà carregant una pàgina falsa i la URL que veurà en l'adreça serà la del banc!
Aquest tipus d'atacs són molt comuns i es denominen descaminament (pharming) local.
Però açò no és tot, la pàgina falsa de Gusanito també executa un script que aprofita una vulnerabilitat coneguda dels encaminadors 2wire de Telmex, per a realitzar el mateix atac de descaminament, d'esta manera si la víctima no s'infecta localment amb Java, podria ser afectada des del router i pitjor encara, tots els equips del seu llar estarien carregant pàgines falses.
Llegiu la notícia completa en SpamLoco
Llegiu la informació original des del bloc de l'UNAM-CERT