Alerta: un troyano que se hace pasar por un vídeo del iPhone para un ataque de Pharming

l último caso reportado por PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, consiste en un nuevo ataque de pharming empleando el troyano Banker.LKC. Las víctimas de este ataque podrían ver cómo sus claves o número de cuenta bancaria van a parar a manos de los ciberdelincuentes.

El pharming es una versión sofisticada del phishing. Consiste en cambiar los contenidos del DNS (Domain Name Server o Servidor de Nombres de Dominio) a través de la configuración del protocolo TCP/IP o del archivo host. Los DNS almacenan la dirección numérica o IP (62.14.63.187., por ejemplo) asociada a cada nombre de dominio o URL (www. mibanco.com, por ejemplo). El fraude consiste en que, cuando se teclee el nombre de una página web, el servidor reenviará al usuario a otra dirección numérica, es decir, a otra IP que será una página fraudulenta, similar a la original.

En este caso, la modificación se lleva a cabo a través del troyano Banker.LKC. Éste, llega al sistema con el nombre "VideoPhone[1]_exe". Una vez ejecutado, y con el fin de engañar al usuario, abre una ventana del navegador en la que muestra una web que comercializa el iPhone, el Terminal móvil de Apple.

Mientras engaña al usuario con esa página, el troyano modifica el fichero host redirigiendo las URLs de algunos bancos y empresas a una página falsa. De este modo, cuando un usuario intente visitar alguna de esas entidades tecleando su dirección en el navegador o accediendo a ellas desde una búsqueda en Internet, será redirigido a la página fraudulenta. En ella se le pedirán datos privados (número de cuenta bancaria, contraseña para operaciones bancarias online, etc.) que, de ser dados, irán a parar a manos del ciberdelincuente.

La modificación no provoca ningún comportamiento raro en el ordenador. Además, el fraude se lleva a cabo sin que el usuario tenga que realizar ningún comportamiento extraño, puesto que basta con que teclee la dirección de su banco en el navegador para convertirse en víctima. Esto hace que el ataque sea aún más peligroso.

"Obviamente, el propósito de los ciberdelincuentes es utilizar esa información para saquear las cuentas de los usuarios y hacerse con su dinero", explica Luis Corrons, director técnico de PandaLabs, que añade: "el iPhone actúa en este caso como cebo para atraer a los usuarios e invitarles a ejecutar el archivo que contiene el código malicioso".

Cómo protegerse del pharming

- En el momento de conectarse a una página en la que se le pidan datos confidenciales compruebe que la URL de la misma es la que usted ha tecleado y que no tiene añadidos de ningún tipo como una letra más, un número al final, etc.

- Compruebe el certificado de seguridad de los sitios web que visita. Cualquier empresa de comercio electrónico o banco que se precie ha de tener la certificación de seguridad para sus servidores emitida por alguna autoridad certificatoria de prestigio. Existen varias autoridades de certificación, de ellas verisign es la más reconocida.

- Mantenga una protección antivirus eficaz y actualizada instalada en su equipo ya que, como se ha visto, en muchos casos la modificación es llevada a cabo por códigos maliciosos.