• Tweet

Esta semana se mitigó un ataque que afectó a usuarios en línea de al menos 50 instituciones financieras de EU, Europa y la región Asia-Pacífico, dijo hoy un experto de seguridad.

El ataque fue notorio debido al exfuerzo extraordinario que los intrusos pusieron en él, ya que construyeron un sitio web similar independiente para cada institución financiera afectada, dijo Henry Gonzalez, investigador de seguridad de Websense Inc.

Para infectarse, un usuario tuvo que ser engañado para visitar un sitio web que alojaba un código malicioso que explota una vulnerabilidad crítica descubierta el año pasado en el software de Microsoft, dijo Websense.

La vulnerabilidad, para la que Microsoft ha liberado un parche, es particularmente peligrosa debido a que requiere sólo que un usuario visite un sitio web que contiene el código malicioso.

Una vez que accede al sitio web, una computadora no parchada descarga un caballo de Troya en un archivo llamado "iexplorer.exe", que luego descarga cinco archivos más desde un servidor en Rusia. Los sitios web sólo desplegaron un mensaje de error y recomendaron que el usuario desactivara su firewall y software antivirus.

Si después un usuario con una PC infectada visitaba cualquier de los sitio bancarios afectados, era redirigido a un sitio web falso que recolectaba sus credenciales de autenticación y las transfería al servidor en Rusia, dijo Gonzalez. Luego el usuario era regresado al sitio legítimo donde ya se había autenticado, haciendo invisible el ataque.

La técnica es conocida como un ataque de pharming. Como los ataques de phishing, el pharming implica la creación de sitios web similares que engañar a la gente para que proporcione su información personal. Pero mientras los ataques de phishing invitan a su víctima a dar click en mensajes de spam para acceder el sitio similar, los ataques de pharming direccionan a sus víctimas al sitio web similar incluso si escriben la dirección del sitio real en sus navegadores.

Los sitios web que alojan el código malicioso, que fueron ubicados en Alemania, Estonia y el Reino Unido, han sido dados de baja por los ISPs el martes por la mañana, así como los sitios web similares, dijo Gonzalez.

No se sabe con certez cuánta gente pudo haber sido víctima del ataque, que duró al menos tres días. El ataque también instaló un bot en la PC de los usuarios, lo que dio al intruso el control remoto de la máquina infectada. A través de ingeniería inversa y otras técnicas, los investigadores de Websense pudieron capturar pantallas del controlador del bot.