El malware en Latinoamérica ha tenido la "semana de los presidentes", ya que luego de los códigos maliciosos propagados utilizando los nombres de Hugo Chávez de Venezuela y lvaro Colom, presidente de Guatemala; más los ataques hacktivistas al presidente de Colombia; se le suma un nuevo incidente, y esta vez es el turno de Dilma Rousseff, presidenta de Brasil. El ataque es muy similar al resto de los reportados en la semana: un correo electrónico con un mensaje atractivo (y falso) y un enlace directo al instalador del código malicioso. En esta oportunidad, el asunto del correo era el siguiente: "Escandalo. Hacker divulga videos e fotos retirados do email pessoal da Presidenta Dilma contendo arquivos secretos e fotos de sua suposta namorada" (en español: Escándalo. hacker libera videos y fotos tomadas por del correo electrónico personal de la presidenta Dilma, conteniendo archivos secretos y fotos de su supuesta novia):
El enlace en cuestión, lleva a la descarga de un archivo, identificado por ESET NOD32 como Win32/Qhost.OFS Troyano, un troyano diseñado para obtener credenciales de home banking de las víctimas; una de las amenazas más importantes de la región, donde además Brasil se destaca por ser el país de mayor propagación de troyanos bancarios.
Este ataque es uno más de las campañas que venimos reportando periódicamente por estos ciber criminales brasileños, como el supuesto video erótico la última semana, o las 11 campañas de propagación de malware distintas que reportamos entre febrero y mayo de 2011. Se trata también de los mismos atacantes para los que identificamos tres servidores de phishing con más de 63 dominios brasileños.
En la siguiente imagen, podemos observar cómo un usuario afectado por estas amenazas propagó desde su cuenta de correo este nuevo mensaje hablando sobre la presidenta brasileña y su supuesto video privado:
En esta ocasión, el archivo posee un rutina de ataque de pharming local, que no solo afecta a bancos brasileños, sino que también modifica el archivo hosts para otros bancos de la región como Chile, Argentina o Perú, entre otros. Además, como se observa en la siguiente imagen de un sistema infectado, se bloquea el acceso a sitios web de empresas antivirus (en este caso se observan los dominios de sitios de ESET de España y Argentina):
Se trata de la cuarta amenaza del ciber crimen relacionada a presidentes en Latinoamérica en lo que va de la semana, y a esta altura ya no es necesaria la confirmación de la tendencia: los atacantes regionales están más activos que de costumbre, y siguen propagando sus ataques locales en cada uno de los países. Esta vez fue Brasil, ¿quién será el próximo?
Sebastián Bortnik
Coordinador de Awareness & Research