Dado la atención mediática que ha tenido los recientes acontecimientos en Bagua, algunos ciber-delincuentes se valen de estos hechos para difundir correos conteniendo imágenes con los heridos y muertos de aquel enfrentamiento, en el que además, incluyen archivos maliciosos, junto con enlaces a vídeos de Youtube, que al acceder remplazan archivos de configuración, de esta forma al intentar acceder por ejemplo a la Web del Banco de la Nación, accederíamos a una Web Identica donde al ingresar, el atancante recibe los datos de la tarjeta de crédito, junto con la clave. Las instituciones afectadas son BBVA, BCP, Scotiabank, Banco de la Nación.

En el correo se aprecian direcciones a videos como el siguiente:

http://www.youtube.com/watch?v=aBv9FnGiWM8

Sin embargo la dirección real a la que accederemos al dar clic en algunos de los videos, es la siguiente:

http://xn--nautacao-j3a.com/Noticias/Bagua_Matanza/www_youtube_com_watchv=aBv9FnGiWM8.php

Para el caso de las imágenes la ruta a la que accederemos es:

http://xn--nautacao-j3a.com/Noticias/Bagua_Matanza/Foto_bagua.php

Al acceder a las direcciones, se muestra un archivo para su descarga.

Según la dirección, se descargarán diferentes archivos, sin embargo si comprobamos la firma md5, verificamos que se trata del mismo archivo.

Foto_bagua.exe 4feaf19e4d5db2eccc1cb9dd41d5d029
www.youtube.comwatchv=-JiDJS0AQ98.exe 4feaf19e4d5db2eccc1cb9dd41d5d029
www_youtube_com_watchv=aBv9FnGiWM8.exe 4feaf19e4d5db2eccc1cb9dd41d5d029

Procedemos a hacer un análisis del archivo, en primer lugar con PEID, para averiguar si está empaquetado, sin embargo, el resultado muestra que no está empaquetado el archivo, por lo que procedemos verificando su contenido, buscando por cadenas dentro del archivo, haciendo uso de Strings. Al buscar patrones de texto, se puede observar cadenas que hacen referencia a “unzip 0.15” y “inflate 1.1.3” juntos con los autores de los algoritmos o programas utilizados. Este primer indicio hace suponer que se trataría de un archivo zip, autoextraible. Al verificar las propiedades del archivo, vemos una evidencia más de que se trataría de un archivo zip.

Para verificar esta teoría, hacemos uso de Winrar, para nuestra suerte, resultó que estábamos en lo correcto, al visualizar el archivo con Winrar, nos muestra el contenido, el que contiene dos archivos, el primero “sfx.ini” y el segundo “hosts”.

En el primer archivo (sfx.ini) se tiene la configuración que indica donde se extraerá el contenido del zip, que corresponde a la ruta, “C:\WINDOWS\system32\drivers\etc”

Contenido del archivo sfx.ini
[Options]
DefaultDir=C:\WINDOWS\system32\drivers\etc
PromptDir=0
Askoverwrite=0
RunBefore=
Run=
ExtractAll=1
DoneBox=0
Title=Uticasoft SFX Compiler
Caption=Press OK to continue.
OK=OK
Cancel=Cancel

Contenido del archivo hosts
212.34.153.176 www.bbvabancocontinental.com
212.34.153.176 bbvabancocontinental.com
212.34.153.176 www.viabcp.com
212.34.153.176 viabcp.com
212.34.153.176 www.bcpzonasegura.viabcp.com
212.34.153.176 bcpzonasegura.viabcp.com
212.34.153.176 www.scotiabank.com.pe
212.34.153.176 scotiabank.com.pe
212.34.153.176 www.bn.com.pe
212.34.153.176 bn.com.pe
212.34.153.176 www.hotmail.com
212.34.153.176 hotmail.com

Este archivo al ser extraído reemplazará el archivo hosts original, al intentar acceder por ejemplo a la web del banco de la nación(www.bn.com.pe) en realidad estaremos accediendo a otra dirección, donde mantienen una web idéntica a la del Banco de la Nación, como lo muestran las siguientes imágenes.

Web real del banco.

Esta web real contiene un certificado de seguridad.

Y esta es la página falsa, la que no contienen ningún certificado de seguridad.

Lo mismo sucede con las páginas del BCP, BBVA, Scotiabank, Hotmail. Alertamos para no dejarse sorprender por estos ciber-delincuentes.