Un sofisticado ataque de “pharming” toma como objetivo a 50 bancos

La semana pasada se difundió un nuevo ataque contra los clientes online de al menos cincuenta entidades financieras de Estados Unidos, Europa y Asia-Pacífico. Finalmente, el ataque ha sido neutralizado.

Lo más destacable de este ataque reside en el enorme esfuerzo que los hackers dedicaron a su elaboración. Construyeron un sitio Web similar e independiente para cada institución financiera tomada como objetivo, según Henry González, investigador de seguridad senior de Websense.

Los atacantes intentaban seducir al usuario para que visitara un sitio Web donde se hospedaba el código malicioso diseñado para explotar una vulnerabilidad crítica descubierta el año pasado en el software de Microsoft (http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx). Esta vulnerabilidad, para la que Microsoft ya había publicado el parche correspondiente, resulta especialmente peligrosa dado que para infectar al usuario sólo requiere que éste visite el sitio Web donde se encuentra el código-

Una vez conducido al sitio Web falso, el ordenador no parcheado para la vulnerabilidad descargaba un troyano en un archivo denominado “iexplorer.exe”, que a su vez introducía en la máquina cinco ficheros adicionales desde un servidor ubicado en Rusia. Los sitios Web desplegaban sólo un mensaje de error y recomendaban al usuario desactivar su firewall y software antivirus.

Pasando inadvertido
Si el usuario con el PC infectado visitaba entonces cualquiera de los sitios de banking objetivo de los ataques, era redirigido a una imitación de los auténticos donde se recogían sus credenciales de entrada y desde el cual éstas se transferían al servidor de Rusia. El usuario era a continuación devuelto al sitio legítimo donde ya se había autenticado, lo que hacía el ataque imperceptible.

Esta técnica es un ejemplo típico de “pharming”. Esta clase de ataques, al igual que los de phishing, suponen la creación de sitios Web falsos que imitan otros auténticos y que pretenden así engañar a las víctimas para que, creyéndose en un entorno seguro y de confianza, faciliten su información personal. Pero, mientras que los ataques de phishing animan a las víctimas a pinchar en vínculos –que supuestamente corresponden a la organización con la que el usuario desea comunicar- dentro de mensajes de spam para dirigirlas al sitio falsificado, el pharming las conduce a él incluso si teclean la dirección auténtica en la barra de su navegador.

Las Webs que albergaban el código malicioso, localizadas en Alemania, Estonia y Reino Unido, han sido desmanteladas ya por los ISPs, como también los sitios falsos diseñados a imagen de las entidades financieras.

De momento no está claro cuántas personas pueden haber resultado perjudicadas por los ataques, que se mantuvieron activos durante al menos tres días. Websense dice no haber tenido noticia de ninguna víctima de robo en sus cuentas. Pero “también es cierto que a la gente no le gusta hacer públicos este tipo de problemas cuando ocurren”, indica González.

Viñeta publicada el 20 de febrero de 1870 en La Flaca n.º 35 Tendencias

ny2 ACTUALIDAD

ny2 Sociedad de la información

Día de la Movilidad y el BYOD Coffee Break