Siempre se ha dicho que meterse en líos de parejas es algo muy delicado que debe evitarse en lo posible, de lo contrario, puede tener resultados desastrosos. Sin embargo, los cibercriminales han optado por hacer caso omiso a esa recomendación, al utilizar Ingeniería Social e inventar una elaborada historia que involucra un supuesto romance o affaire entre el jugador chileno de fútbol Alexis Sánchez y la cantante colombiana Shakira.
El código malicioso que utiliza este relato de amorío e infidelidad llegó a nuestro laboratorio en un correo electrónico que simula provenir de un portal informativo chileno, y en el que se ofrece un video que habría sido entregado por la ama de llaves del “Niño Maravilla” a la prensa. Para seducir al usuario y tentarlo a que siga ese enlace malicioso, en el texto se afirma que en dicho registro audiovisual se puede observar a Shakira bailándole al jugador de fútbol. Como forma de manipular aún más a los usuarios curiosos, se asegura que el material multimedia también incluye los comentarios de algunos de los compañeros de equipo de Alexis que aparecerían opinando al respecto. Sumado a todo lo anterior, los ciberdelincuentes decidieron apelar a la picardía del internauta al sugerir que la causa principal de toda esta historia ficticia, es la falta de dotes de la verdadera pareja de la cantante colombiana, el futbolista español Gerard Piqué.
Si el usuario no es precavido y decide seguir interiorizándose de esta falsa noticia, estará descargando un troyano detectado por ESET NOD32 Antivirus como Win32/Qhost.OQJ. Si además la víctima no está protegida por una solución de seguridad con capacidad de detección proactiva y ejecuta dicho archivo .EXE, el código malicioso procede a modificar los archivos hosts de la computadora afectada para redirigir ciertas direcciones pertenecientes a entidades financieras chilenas, hacia otros sitios ilegítimos (pharming local) cuyo objetivo es conseguir rédito económico mediante la obtención de información bancaria a través del phishing.
De acceder a algunos de los bancos afectados, se le pedirá a la víctima sus credenciales de acceso. Una vez que esa información es otorgada, se le solicita a la persona que ingrese los números que le aparecen en su dispositivo de seguridad bancaria. Finalmente, se despliega una falsa animación que asegura estar verificando la información. Dicho mensaje no desaparece hasta que la persona cierra la ventana de su navegador web.
Le recordamos una vez más a los lectores que deben ser muy precavidos de no seguir hipervínculos que provengan de medios a los cuales no se esté suscrito, o que soliciten información sensible a cambio de premios u otras ofertas que resulten dudosas. Por otro lado, ninguna institución financiera o de otro índole, pedirá datos que pudieran resultar comprometedores para los usuarios mediante correo electrónico o redes sociales. Al respecto, recomendamos la lectura de nuestras guías para identificar correos falsos y protegerse en redes sociales.
André Goujon
Especialista de Awareness & Research