Nuevo ataque de Hackers a usuarios de Cantv para instalar virus troyano (*) (**)

/ Noticias, Inforenses / Por

Nuevo ataque de Hackers a usuarios de Cantv para instalar virus troyano  (*) (**)

En Julio del 2008 Informática Forense.com  dio el alerta sobre la primera campaña masiva de intentos de robo de información a usuarios de Cantv.net , para instalar virus troyano.(Ver:   Hackers atacan a usuarios de Cantv :
http://www.informaticaforense.com/criminalistica/hemeroteca/noticias-sobre-if/hackers-atacan-a-usuarios-de-cantv-para-instalar-virus-troyano.html)

Comenzando el 2009 hemos detectado un nuevo ataque cibernético, en el  que delincuentes informáticos están enviando mensajes o correos electrónicos  falsificados desde la dirección info@hi5.com (por lo general habilitada como  “correo deseado”).
En éste nuevo ataque, se utilizan logotipos del gobierno venezolano que se bajan directamente de la página principal de cantv.net :
En este correo se copia casi integro el texto de oferta del servicio “Botón Turbo” que existe en las páginas de cantv.net   para aumentar la velocidad de 256Kbps a 768.  En el servicio original de la empresa se requiere la activación del mismo  a través de la dirección con conexión segura: https://oficina.cantv.net/oficina/index.asp

El servicio existente aumenta la velocidad de conexión por el tiempo solicitado por el cliente sin necesidad de instalación de software por parte de los usuarios según nos informó un ejecutivo de Cantv.

En el correo falsificado se ofrece descargar un programa gratuitamente desde el enlace:
http://www.cantv.com.ve/seccion/descargas/programas2008/boton_turbo/

Realizando labores de investigación, nuestro equipo de expertos realizó un experimento con un computador especialmente preparado para ello en el que se siguieron las instrucciones de este correo falsificado detectando que el enlace de baja del archivo realmente apunta hacia un servidor de la una empresa de Litografía en España llamada ALUDEC, cuyo servidor debe haber sido saboteado para instalar este archivo de virus. Al hacer clic en el enlace del correo electrónico aparece en la barra del navegador:

http://www.aludecs.com/Boton_turbo.exe

Los Ciberdelincuentes han enviado esta campaña de fraude informático en un momento en el que Cantv está haciendo una oferta con el mismo contenido pero que debe ser activada exclusivamente a través de la denominada oficina virtual cuyo proceso de activación es Ingresar su login y clave la cuenta ABA en el Sitio. Seleccionar el contrato ABA al que cual desee ampliar la velocidad (en caso de que tenga más de uno). Seleccionar la opción de número de días de su preferencia a la cual se va a suscribir, de acuerdo a la información desplegada en el Sitio.  – Aceptar los presentes términos y condiciones en el proceso de activación. – Seleccionar la opción [“Confirmar”].

EL MODUS OPERANDI

Para esta compaña de correos electrónicos detectada el día 15 de Enero de 2009 del presente año, fue utilizado un servidor de correo de una página web ubicada en la dirección mbehostve.com que esta parqueado en un servidor en  los Estados Unidos de Norteamérica Layered Technologies Inc. El Dominio se encuentra registrado a nombre de una empresa ubicada en el estado Carabobo que tiene registrados 41 dominios activos-

EFECTOS DEL VIRUS
Por sus características se trata de un virus troyano solo reconocido hasta la mañana del 16 de enero de 2009 por los siguientes antivirus :
Avast : Win32:Trojan-gen {Other
F-Prot : W32/Hupigon.M.gen!Eldorado
Microsoft : VirTool:Win32/DelfInject.gen!X
nProtect : Virtool.22068

RECOMENDACIONES
Los usuarios deben instalar programas antispyware, como lo es el Spyware Doctor, que se puede bajar gratuitamente desde pack.google.com. Cuando el navegador le notifique que no ha descargado un software con el denominado control activex, no autorice la descarga de archivos desconocidos como lo es el de este caso.

Informatica Forense.com:  Multicentro Empresarial del Este, Edificio Miranda, Núcleo A, Piso 1 Ofc. A-11 y A-12, Av. Fco. de Miranda, Chacao, Caracas, Venezuela. Telf. +58-212-2660087, Móvil: +58-414-3220886. Internacional: 1-954-6072428. Skype: raymondorta

(*) Raymond Orta Martínez, Abogado, Especialista en Derecho Procesal y Pruebas Judiciales Científicas, Experto Grafotécnico e  Informática Forense  y Seguridad Informática.


Fatal error: Uncaught TypeError: call_user_func(): Argument #1 ($callback) must be a valid callback, class "JSMin" not found in /home/inffor/public_html/wp-content/plugins/wp-optimize/vendor/mrclay/minify/lib/Minify/HTML.php:248 Stack trace: #0 [internal function]: Minify_HTML->_removeScriptCB(Array) #1 /home/inffor/public_html/wp-content/plugins/wp-optimize/vendor/mrclay/minify/lib/Minify/HTML.php(106): preg_replace_callback('/(\\s*)<script(\\...', Array, '<!DOCTYPE html>...') #2 /home/inffor/public_html/wp-content/plugins/wp-optimize/vendor/mrclay/minify/lib/Minify/HTML.php(53): Minify_HTML->process() #3 /home/inffor/public_html/wp-content/plugins/wp-super-minify/wp-super-minify.php(171): Minify_HTML::minify('<!DOCTYPE html>...', Array) #4 [internal function]: wpsmy_minify_html('<!DOCTYPE html>...', 9) #5 /home/inffor/public_html/wp-includes/functions.php(5420): ob_end_flush() #6 /home/inffor/public_html/wp-includes/class-wp-hook.php(324): wp_ob_end_flush_all('') #7 /home/inffor/public_html/wp-includes/class-wp-hook.php(348): WP_Hook->apply_filters('', Array) #8 /home/inffor/public_html/wp-includes/plugin.php(517): WP_Hook->do_action(Array) #9 /home/inffor/public_html/wp-includes/load.php(1270): do_action('shutdown') #10 [internal function]: shutdown_action_hook() #11 {main} thrown in /home/inffor/public_html/wp-content/plugins/wp-optimize/vendor/mrclay/minify/lib/Minify/HTML.php on line 248