Monday, 2. June 2014

La ventaja de jugar en casa: BANLOAD se une al Mundial de la FIFA

Por Fernando Mercês (Senior Threat Researcher)

La semana pasada escribí un artículo en el blog sobre sitios web fraudulentos que estafan a usuarios que quieren comprar entradas para el tan esperado Mundial de Brasil. Hace poco encontré otra amenaza que utiliza el Mundial como gancho de ingeniería social, en esta ocasión se trata de un troyano bancario.


Los troyanos bancarios son muy frecuentes en América Latina por lo que esta amenaza parece llegar a tiempo para la fiebre del Mundial. Los clientes de un sitio web de venta de entradas online recibieron un correo electrónico que supuestamente ofrecía la oportunidad de participar en una rifa. Sin embargo, sorprendentemente, este correo contenía información personal (los mismos datos del destinatario que el receptor registró cuando entró). Vea la siguiente captura de pantalla del mail:

figure 1

Figura 1. El contenido del correo electrónico afirma que el destinatario tiene derecho a participar en el sorteo de una entrada para la Copa del Mundo haciendo clic en un enlace

 

El enlace incluido en el correo electrónico lleva a la descarga de un archivo de un servicio legítimo de intercambio de archivos llamado Pastelink.me. Los ciberdelincuentes se aprovecharon de fugas en la base de datos del sitio para distribuir troyanos bancarios. El archivo descargado es detectado como TROJ_BANLOAD.SM5, un troyano bancario en formato CPL

El sitio de las entradas  ha publicado una notificación  acerca de estos mensajes de correo basura. El mensaje en la pantalla de abajo se traduce como “Anuncio importante. Alerta: E-Mail falso disfrazado como Mundial de Fútbol. Están circulando e-mails falsos que ofertan entradas para el Mundial y se disfrazan como procedentes de (nombre del sitio). Esta promoción no existe”.

figure 2

Figura 2. Notificación del Site

 

¿Cómo consiguieron los spammers acceder a la base de datos de los usuarios registrados?

Observe que el mensaje de spam contiene datos de usuario precisos, que incluyen sus nombres completos, direcciones, fechas de nacimiento, sexo y dirección de correo electrónico. ¿Cómo fue esto posible?

En respuesta a la queja de un cliente, el sitio de venta de entradas dijo que los datos de usuario que se utilizan en el mensaje de correo basura no venía de sus sistemas. El pantallazo de abajo es de un sitio web de quejas del usuario, que aclara esto a sus usuarios registrados. Traducido dice: “Estimados clientes, la promoción que ofrece entradas para el Mundial es falsa y los datos utilizados en el correo no deseado no viene de nuestros sistemas. El caso ya está en manos de las autoridades”.

figure 3

Figura 3. Notificación al Cliente

 

¿Quién tiene la culpa?
Si los datos filtrados no vinieron desde el sitio, entonces, ¿quién tiene la culpa? La respuesta a esto se desconoce ya que en Brasil la ley no obliga a las empresas a notificar las posibles o confirmadas violaciones de datos. En el caso de una posible violación de datos, se recomienda a las empresas notificar a las personas cuando se trata de datos de los consumidores (los usuarios registrados del sitio web se consideran consumidores). Además, allí no hay leyes vigentes en Brasil, que se ocupan específicamente de la transferencia de datos.

Si bien la mayoría de los países desarrollados (por ejemplo, los de la Unión Europea) parece estar actuando con rapidez para proteger los datos personales de los usuarios, incidentes como estos ponen de relieve la importancia de las leyes de privacidad en países como Brasil. El pasado abril, el gobierno de Brasil aprobó una ley que protege la privacidad del usuario. Con el Mundial tan cerca se está constantemente generando rumores por parte de los aficionados a los deportes y cibercriminales que buscan hacer dinero rápido por lo que se esperan más ataques en las próximas semanas.

Trend Micro protege a clientes mediante el bloqueo de URLs de descarga de archivos asociados, servidores comando y control (C & C),  archivos hashes e IPs de correos electrónicos

Race to Security hub contiene historias de TrendLabs relacionadas con los principales eventos deportivos. Pronto presentaremos el Mundial 2014.