Incremento de ataques phishing mediante la alteracion de archivo hosts

Por marcelo-ar - 6 de Diciembre, 2005, 2:37, Categoría: General

Websense® Security Labs™ informa en uno de sus alertas, que han observado un incremento en los ataques del tipo phishing que utilizan modificaciones en el archivo hosts de Windows para embaucar a los usuarios.

Muchos exploits y trucos que apelan a ingenieria social se utilizan para ejecutar código malicioso que añade ciertas entradas al archivo hosts de Windows.

Estas entradas añadidas por el codigo malicioso ejecutado, redirigen el tráfico de la URL legítima de uno o mas bancos, a la dirección IP de un sitio falso creado por el atacante o phisher. La próxima vez que el usuario intente visitar la web del banco blanco del ataque, su navegador será redirigido al sitio del phisher.
Notar que la URL que aparecerá en la barra de direcciones del navegador será la correcta. Una vez que el usuario atacado acceda al sitio malicioso e ingrese mediante el formulario sus datos de acceso, esa información será capturada por el phisher.

En el alerta de Websense® Security Labs™ se muestra un ejemplo del archivo hosts alterado que tiene como blanco de ataque a los bancos HSBC Brazil, Banco Itau, Banco Banespa, y Bradesco.
Estos sitios utilizados en el ataque estan alojados en California, y aún se encontraban en línea al momento de publicar ese alerta.

Alerta de Websense® Security Labs™
Phishing Alert / Malicious Code:   Traffic Redirection
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=363

Nota:
El archivo hosts es una especie de tabla donde cada línea permite relacionar una URL con la IP que le antecede, de modo que no sea necesario una consulta a servidores DNS a efectos de convertir la URL en su correspondiente dirección IP.
El archivo hosts sin extensión alguna, se almacena en distintos directorios según la versión de Windows utilizada:

Windows 95/98/Me
  c:\windows

Windows NT/2000/XP Pro
  c:\winnt\system32\drivers\etc

Windows XP Home
  c:\windows\system32\drivers\etc

Si bien en este caso se explica el uso malicioso del archivo hosts, este también se puede utilizar, por ejemplo, a efectos de agilizar la navegación colocando las IPs correspondientes a sitios frecuentemente visitados, evitando la demora que puede generar la consulta a los servidores DNS que resuelven las direcciones.

El Blog

Calendario

<<   Diciembre 2005  >>
LMMiJVSD
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker