Los internatutas mexicanos tienen que ser muy precavidos estos días. Según informó Trend Micro, ha recibido reportes de lo que al parecer es un intento de ataque masivo conocido como envenenamiento DNS (DNS poisoning) en México.
Las armas que utiliza este ataque incluyen la ingeniería social, la descarga de código malicioso, pharming, y un módem DSL.
La firma de seguridad explica que el ataque inicia con la explotación de una vulnerabilidad conocida de los módems 2Wire, la cual permite que un atacante modifique los servidores y hosts DNS locales. Uno de los principales proveedores de servicio Internet de México (entiéndase Telmex) ofrece módems 2Wire a sus clientes, y se calcula que cientos de miles de modems y más de 2 millones de usuarios podrían están en riesgo.
De acuerdo con un ejecutivo de la empresa, el exploit llega con un mensaje de correo de noticias con el titular que dice: “EU dio 40 años a principal operador del Cartel de Tijuana”.
El código que contiene el mensaje es un tag “img src”. Esto significa que una vez que un usuario abre el correo en su formato HTML, el código intenta automáticamente acceder a la consola Web del módem y modificar la base de datos del local host para redirigir todas las solicitudes de banamex.com a un sitio fraudulento.
Los usuarios afectados que quieren tener acceso al sitio bancario, incluso cuando escriben banamex.com, que es el nombre de dominio legítimo, son dirigidos a un sitio fraudulento.
Pero no todo termina ahí, explica Trend Micro en un comunicado, el mensaje malicioso también promete un “video” e incluye un enlace que apunta a un URL malicioso donde el archivo .RAR Video_Narco.rar puede descargarse. Este archivo contiene el archivo malicioso Video_Narco.exe, que Trend Micro detecta como TROJ_QHOST.FX.
Por lo pronto, algunos usuarios ya están recibiendo notificaciones si su navegador los dirige al sitio falso. En tanto, Trend Micro asegura que las prácticas de cómputo inteligentes siguen siendo la mejor protección.