Jumcar, una familia de virus con estrategias de phishing
‘Jumcar’ tiene como objetivo el robo de información financiera de usuarios que utilizan servicios de banca en línea de importantes entidades bancarias en la región.
No es tan difícil detectar fraudes informáticos o malignos virus que intentan robar nuestra información cuando estos utilizan mal el español, y están claramente programados por hackers en lejanas latitudes. ¿Pero qué pasa cuando la amenaza viene de nuestro propio continente?
Analistas de Kaspersky Lab acaban de revelar el descubrimiento de una familia de códigos maliciosos desarrollados en Perú que está desplegando sus maniobras de ataque por toda la región. Denominado “Jumcar” por el equipo de analistas, el principal objetivo de estos códigos maliciosos se resume en el robo de información financiera de usuarios latinoamericanos que hacen uso de los servicios de home-banking de importantes entidades bancarias. De las víctimas, 89% se canalizan en Perú a través de seis estrategias de Phishing basadas en la clonación fraudulenta de los sitios web bancarios. Algunas variantes de la familia Jumcar también incorporan en la logística de la estrategia dos entidades bancarias de Chile y una de Costa Rica.
La cultura ciber-delictiva se expande con mucha fuerza en América Latina. Ejemplo de ello son algunas de las redes de bots gestionadas a través de crimeware desarrollado en la región, que además cuentan con la posibilidad de generar malware personalizado. Tales son los casos de las botnets que analistas de Kaspersky Lab han descubierto a lo largo de los últimos dos años y alertado al respecto oportunamente como vOlk-Botnet, Chimba-Botnet, UELP, AlbaBotnet y PiceBOT.
Sin embargo, según Jorge Mieres, analista para Kaspersky Lab, esta familia de malware posee características y componentes completamente diferentes y muy particulares en comparación con las anteriormente mencionadas. “Solo comparten el mismo objetivo: robar información financiera y, en similitud, la estrategia de propagación inicial: correo electrónico asociado con un fuerte componente de Ingeniería Social visual basado en falsos mensajes”, explicó Mieres.
Las campañas de propagación de ‘Jumcar’ son compatibles con las clásicas estrategias de Ingeniería Social visual que se basan en el envío de correos electrónicos fraudulentos, instancia en la cual se dispara hacia dos vetas de ataque:
1. Un mensaje supuestamente emitido por Facebook con el asunto “Mensaje de Facebook”, acompañado con imágenes del logo de la red social, que direccionan el tráfico hacia un archivo llamado “Mensaje_Facebook_Privado.php” (o similar), que posee las instrucciones necesarias para la descarga de una variante de Jumcar.
2. Un mensaje supuestamente emitido por una importante entidad bancaria de Perú que direcciona el tráfico del usuario hacia la clonación del sitio web de la entidad bancaria en cuestión.
“Todas las variantes de Jumcar son alojados en sitios web previamente vulnerados. Es decir, el atacante no registra nombres de dominio como parte de la estrategia de propagación. En ellos también se implantan los PhishingPack utilizados para robar la información de los usuarios desprevenidos, un archivo en texto plano que aloja la configuración para el archivo hosts de los equipos víctimas, el MassMailer a través del cual se masifica el envío de los correos engañosos y un backdoor que le permite al atacante acceder y alojar las nuevas variantes del malware”, añadió Mieres.
El impacto que Jumcar ha tenido en los últimos meses es alto y específico. Los mayores niveles de infección se encuentran focalizados con mayor éxito de penetración en Perú y Chile:
Las diferentes variantes de ‘Jumcar’ son detectadas por Kaspersky Lab como “Trojan.MSIL.Jumcar” y “Trojan.Win32.Jumcar”.
Analistas de Kaspersky Lab América Latina han analizado alrededor de 50 muestras pertenecientes a la familia de malware Jumcar que les permitieron recolectar un importante volumen de datos de interés que compartirán en los próximos días.
El artículo completo de la primera parte de esta investigación se puede encontrar aquí: http://latam.kaspersky.com/Jumcar-parte1
NOTA:
Ya están llegando a España mails al respecto como:
_______________
Su cuenta de Facebook permaneció inactiva las últimas horas, este problema es debido a que nuestros servidores están saturados. Sino reactiva su cuenta en Facebook será desactivada en breve por motivos de seguridad.
Para reactivar su cuenta nuevamente, habilitar su cuenta passport y su cuenta Facebook, haga clic con su ratón en Activar cuenta
Para iniciar sesión en los servicios de Facebook, se le pedirá que especifique una dirección de correo electrónico y una contraseña, a las que nos referimos como sus credenciales de Facebook. Si tiene acceso a nuestros servicios mediante un teléfono móvil, sus credenciales serán su número de teléfono y un PIN. Como parte del proceso de creación de sus credenciales de Facebook, también se le puede solicitar que proporcione una dirección de correo electrónico alternativa y preguntas y respuestas secretas, que utilizaremos para comprobar su identidad y ayudarle a restablecer su contraseña.
Departamento de seguridad de Facebook
________________
Mucho cuidado con ello, ni contestar ni pulsar en los enlaces, imagenes o anexados de mails no solicitados !!!
saludos
ms, 25-5-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.