Pharming y Phising de sitios de Brasil
Hace unos dias recibimos un correo en el cual se nos notificaba de un código malicioso que se propagaba a través de una URL como la siguiente:
http://XXXXXXX#/fotos_flagrante-Dilma.JPEG?0.25970
El archivo que podía ser descargado del link anterior, se identifica como fotos.com. Actualmente, los motores antivirus que lo detectan como amenaza, son los siguientes:
La información digital de la muestra es la siguiente:
Cuando el archivo es ejecutado, se inicia Internet Explorer y Firefox, haciendo una petición al sitio httpXXXXXX://boloob.com/ /new/total_visitas.php
Lleva a cabo la eliminación del archivo de hosts del equipo y crea uno nuevo haciendo un pharming de los siguientes sitios:
173.XXX.XXX.203 serasa.com.br
173.XXX.XXX.203 www.serasa.com.br
173.XXX.XXX.203 bradescopj.com.br 173.XXX.XXX.203 itau.com.br 173.XXX.XXX.203 bradesconetempresa.com.br 173.XXX.XXX.203 www.bradesconetempresa.com.br 173.XXX.XXX.203 www.santander.com.br 173.XXX.XXX.203 www.banespa.com.br 173.XXX.XXX.203 www.santanderbanespa.com.br 173.XXX.XXX.203 santander.com.br 173.XXX.XXX.203 banespa.com.br 173.XXX.XXX.203 santanderbanespa.com.br 173.XXX.XXX.203 www.americanexpress.com.br 173.XXX.XXX.203 americanexpress.com.br 173.XXX.XXX.203 www.msn.com 173.XXX.XXX.203 msn.com 173.XXX.XXX.203 www.hotmail.com 173.XXX.XXX.203 hotmail.com 173.XXX.XXX.203 www.live.com 173.XXX.XXX.203 live.com 173.XXX.XXX.203 www.itau.com.br 173.XXX.XXX.203 www.itaupersonnalite.com.br 173.XXX.XXX.203 itaupersonnalite.com.br 173.XXX.XXX.203 www.banrisul.com.br 173.XXX.XXX.203 banrisul.com.br 173.XXX.XXX.203 www.bradesco.com.br 173.XXX.XXX.203 www.bradescoprime.com.br 173.XXX.XXX.203 www.prime.com.br 173.XXX.XXX.203 bradesco.com.br 173.XXX.XXX.203 bradescoprime.com.br 173.XXX.XXX.203 prime.com.br 173.XXX.XXX.203 www.bradescopessoajuridica.com.br 173.XXX.XXX.203 bradescopessoajuridica.com.br 173.XXX.XXX.203 www.bradescopj.com.br 173.XXX.XXX.203 www.bb.com.br 173.XXX.XXX.203 bb.com.br 173.XXX.XXX.203 www.bancodobrasil.com.br 173.XXX.XXX.203 bancodobrasil.com.br 173.XXX.XXX.203 www.caixa.com.br 173.XXX.XXX.203 www.caixa.gov.br 173.XXX.XXX.203 www.caixaeconomica.com.br 173.XXX.XXX.203 www.caixaeconomica.gov.br 173.XXX.XXX.203 www.caixaeconomicafederal.gov.br 173.XXX.XXX.203 www.cef.com.br 173.XXX.XXX.203 www.cef.gov.br 173.XXX.XXX.203 caixa.com.br 173.XXX.XXX.203 caixa.gov.br 173.XXX.XXX.203 caixaeconomica.com.br 173.XXX.XXX.203 caixaeconomica.gov.br 173.XXX.XXX.203 caixaeconomicafederal.com.br 173.XXX.XXX.203 caixaeconomicafederal.gov.br 173.XXX.XXX.203 cef.com.br 173.XXX.XXX.203 cef.gov.br Actualmente están activos los phishings para los siguientes sitios: santander.com.br http://173.XXX.XXX.203/language/en-GB/home/images/home/santander/portal/gsb/script/templates/GCMRequest.do.htm serasa.com.br http://173.XXX.XXX.203/language/en-GB/home/consulta/ americanexpress.com.br http://173.XXX.XXX.203/language/en-GB/home/br/ bradesco.com.br http://173.XXX.XXX.203/language/en-GB/home/bnet/ caixa http://173.XXX.XXX.203/language/en-GB/home/cef/ hotmail.com msn.com live.com http://173.XXX.XXX.203/logs/index.htm Se puede apreciar dentro del código del sitio que guarda los datos de las cuentas y contraseñas, a través de un archivo php, en el sitio http://187.X.X.225/sb/get.php y posteriormente realiza la redirección hacia el sitio oficial de hotmail. Sitios de phishing: