Falso concurso promete iPhone 5 e infecta a usuarios de Panamá, Costa Rica y Chile

En el último tiempo, hemos estado siguiendo el caso de Win32/Qhost.Banker.NC, troyano que ha sido propagado en varias ocasiones a través de novedosas campañas. A Chile, ahora se suman Costa Rica y Panamá como grupos objetivos de esta amenaza.

Este código malicioso se propaga por medio de campañas geolocalizadas que ofrecen supuestos premios como un iPhone 5. Aunque en un comienzo este troyano afectaba exclusivamente a usuarios de bancos establecidos en Chile, un posterior análisis del malware nos permitió comprobar que la lista de entidades financieras ahora también incluye bancos pertenecientes a Costa Rica, Panamá, e incluso un servicio de comercio electrónico y una conocida tarjeta de crédito. En base a lo que se ha podido observar, Qhost.Banker.NC llega simulando ser un formulario que el usuario debe completar para poder canjear el falso premio. En caso que el código malicioso sea ejecutado, procede a deshabilitar el administrador de tareas y a cerrar herramientas como Process Monitor con el objetivo de dificultar su posterior análisis dinámico y remoción del sistema infectado.

Luego, se copia a la carpeta de instalación de Windows utilizando algún nombre como “iexplorer.exe”. Posteriormente, procede a contactar un servidor remoto con el objetivo de descargar un archivo de texto que después renombra y lo utiliza para modificar el fichero hosts del equipo. Este hosts malicioso es detectado por ESET NOD32 Antivirus como Win32/Qhost. A través de la técnica pharming local, este código malicioso redirige al usuario hacia sitios fraudulentos cuando intenta ingresar a determinadas entidades financieras. Por el momento, seis pertenecen a Chile, cuatro a Costa Rica, dos a Panamá, y otras dos a una conocida tarjeta de crédito y sistema de comercio en línea, sumando un total de catorce entidades financieras afectadas.