Descripción del keylogger Remcos de hoy, que modifica el HOSTS de algunos bancos
Descripción del keylogger Remcos de hoy
Se trata de un modificador del HOSTS que cambia las URL de muchos bancos de manera que cuando se quiere acceder a uno, lleva a una URL maliciosa que es un phishing del banco donde pretendemos apuntar
El causante del estropicio es este malware, que modifica el HOSTS, es un fichero oculto, con atributos S, H y R, sito en:
%Datos de Programa%\ AppData\ windowsupdater.exe (+s+h+r)
El cual pasamos a controlar a partir del ELISTARA 40.95 de hoy, asi como pasamos a anular lo indicado en el HOSTS si el usuario pulsa en una de las URL maliciosas, cambiandola por la 127.0.0.1 (LOCAL HOSTS)
Las URL de los bancos afectados, son las siguientes:
185.35.137.145 www.bmo.ca
185.35.137.145 www1.bmo.com
185.35.137.151 tangerine.com
185.35.137.151 www.tangerine.ca
185.35.137.144 atbonline.com
185.35.137.147 accweb.mouv.desjardins.com
185.35.137.149 www.rbc.com
185.35.137.146 www.cibconline.cibc.com
185.35.137.146 www.cibc.com
185.35.137.151 www.tangerine.com
185.35.137.147 www.accweb.mouv.desjardins.com
185.35.137.145 bmo.ca
185.35.137.152 vancity.com
185.35.137.151 tangerine.ca
185.35.137.145 www1.bmo.com/onlinebanking/cgi-bin/netbnx/NBmain
185.35.137.150 www.scotiabank.ca
185.35.137.150 www.scotiabank.com
185.35.137.150 scotiabank.com
185.35.137.148 banking.meridiancu.ca
185.35.137.149 rbcroyalbank.com
185.35.137.146 cibc.com
185.35.137.149 rbc.com
185.35.137.148 www.banking.meridiancu.ca
185.35.137.150 scotiabank.ca
185.35.137.148 meridiancu.ca
185.35.137.145 www.bmo.com
185.35.137.152 www.vancity.com
185.35.137.146 cibconline.cibc.com
185.35.137.149 www.rbcroyalbank.com
185.35.137.148 www.meridiancu.ca
185.35.137.151 www.tangerine.ca
185.35.137.150 www.scotiaonline.scotiabank.com
185.35.137.144 www.atbonline.com
185.35.137.144 atbonline.com
185.35.137.146 cibconline.cibc.com
185.35.137.152 vancity.com
185.35.137.145 www.bmo.ca
185.35.137.145 bmo.ca
185.35.137.147 accweb.mouv.desjardins.com
185.35.137.147 www.accweb.mouv.desjardins.com
185.35.137.149 rbc.com
185.35.137.149 www.rbcroyalbank.com
185.35.137.145 www1.bmo.com/onlinebanking/cgi-bin/netbnx/NBmain
185.35.137.150 scotiaonline.scotiabank.com
185.35.137.152 www.vancity.com
185.35.137.150 scotiabank.ca
185.35.137.145 www.bmo.com
185.35.137.148 meridiancu.ca
185.35.137.146 cibc.com
185.35.137.146 www.cibc.com
185.35.137.148 banking.meridiancu.ca
185.35.137.150 www.scotiabank.com
185.35.137.148 www.meridiancu.ca
185.35.137.149 rbcroyalbank.com
185.35.137.151 tangerine.com
185.35.137.145 bmo.com
185.35.137.151 tangerine.ca
185.35.137.146 www.cibconline.cibc.com
185.35.137.149 www.rbc.com
cambiandolas por la 185.35.137.xxx que es la de cada phishing del banco correspondiente, y aparte de ello hace de keylogge, como REMCOS que es!
total ofrece el siguiente informe>
Cuidado con ello, que nos quieren llevar al huerto !
saludos
ms, 25-3-2019
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.
Siguenos
en facebook
Los comentarios están cerrados.