Pharming: Sofisticado ataque toma como objetivo a 50 bancos.

La semana pasada un ataque intentó cometer delitos de fraude contra los clientes online de al menos cincuenta entidades financieras de Estados Unidos, Europa y Asia-Pacífico. Finalmente, el ataque fue neutralizado, según informo Henry González, investigador de seguridad de Websense, a la Asociación de Internautas.

Este ataque se destaco por el enorme esfuerzo que los piratas informáticos dedicaron a su elaboración. Construyeron un sitio Web similar e independiente para cada institución financiera tomada como objetivo.

Los hackers intentaron seducir a los usuarios para que visitaran un sitio Web donde se hospedaba el código malicioso diseñado para explotar una vulnerabilidad crítica descubierta el año pasado en el software de Microsoft.

La vulnerabilidad, para la que Microsoft ya había publicado el parche correspondient e, resulta especialmente peligrosa dado que para infectar al usuario sólo requiere que éste visite el sitio Web donde se encuentra el código.

Una vez conducido al sitio Web falso, la PC no parcheada para la vulnerabilidad descargaba un troyano en un archivo denominado “iexplorer.exe”, que a su vez introducía en la máquina cinco archivos adicionales desde un servidor ubicado en Rusia. Los sitios Web desplegaban sólo un mensaje de error y recomendaban al usuario desactivar su firewall y software antivirus.

Si el usuario con el PC infectado visitaba entonces cualquiera de los sitios de banking objetivo de los ataques, era redirigido a una imitación de los auténticos donde se recogían sus credenciales de entrada y desde el cual éstas se transferían al servidor de Rusia.

El usuario era a continuación devuelto al sitio legítimo donde ya se había autenticado, lo que hacía el ataque imperceptible.

Esta técnica es un ejemplo típico de “Pharming”. Esta clase de ataques, al igual que los de phishing, suponen la creación de sitios Web falsos que imitan otros auténticos y que pretenden así engañar a las víctimas para que, creyéndose en un entorno seguro y de confianza, faciliten su información personal.

Las Webs que albergaban el código malicioso, localizadas en Alemania, Estonia y Reino Unido, han sido desmanteladas ya por los ISPs, como también los sitios falsos diseñados a imagen de las entidades financieras.

La Asociación de Internautas no informó cuántas personas pueden haber resultado perjudicadas por los ataques, que se mantuvieron activos durante al menos tres días. Por el momento no se tiene novedad de ninguna víctima de robo en sus cuentas.