Sonó el teléfono.
“Ché saurio, ¿te puedo copiar un email raro que acaba de llegar?”
La voz del gerente de esa bodega boutique sonaba seria. Como corresponde, me había llamado por teléfono para avisar que mandaba una porquería. Es lo correcto. Si lo manda sin avisar, probablemente el sospechoso sería fulminado a la llegada.
Así comenzó mi diversión de esta tarde. Me divierto barato, yo.
El email tenía como asunto “Procedimiento Investigatório Nº454/2008”. Y mostraba un impresionante (y auténtico) isologo del Ministério Público Federal. Los acentos no están mal. Es que… ese escudo es brasileño, el cartel está en portugués. El impresionante texto que sigue abajo es una Tremebunda Intimación a Presentarse a una Audiencia. Inteligentemente, te citan para el 26 de mayo, pero la recibís el 30 de junio, para que te desesperes Si el que la recibió no hubiese desconfiado de entrada, seguro que hacía clic en “ANEXO:DESPACHO-4542008.ZIP” que es el attachment que se ve abajo, y parece ser el texto aclaratorio de la citación.
Si algún idiota le hace clic, se descarga DESPACHO-4542008.exe que es un precioso ejecutable para Windows. Así que minga de citación ¿entendiste?
Como para sacarme la duda, envié una muestra del “despacho-exe” al analizador automático de Virustotal. Respuesta: positivo, 9/33. En criollo: la detectaron nueve antivirus sobre 33 que emplea ese servicio. Y de esos, siete lo identificaron sin duda, para los otros dos era “troyano genérico”. Un día después de enviado a las víctimas. Malo, malo.
Esta porquería es realmente el instalador de Banload/Banker, un troyano completito. Se ejecuta e instala una cantidad de sub-porquerías. Mediante estas herramientas te afana cuanto password encuentre. Si estás haciendo e-banking desde la compu de la empresa, obtendrá los password de las cuentas de la empresa. ¿Necesito seguir?
A esta altura del partido, tenía ganas de averiguar de dónde venía la mano. La bodega que recibió el email ha vendido vino a Brasil, así que su email está en más de una compu brasileña. El email viene de una máquina con ADSL de BrasilTelecom, el escudo está afanado de la web verdadera ministerial, pero el espantoso ejecutable viene de una dirección que termina en “punto IO” Ese dominio es de la Posesión Británica en el Océano Índico. Que se administra desde Inglaterra.
La página web con porquerías está registrada a nombre de un ciudadano norteamericano que vive en el 501 de la calle Silverside, en Wilmington, estado de Delaware, allá en USA. En total, un corno que ver con los judiciales brasileños (aunque si con los hackers brasileños…). Todo muy bonito y didáctico, pero si el que recibió el email no hubiese desconfiado, esa empresa probablemente se quedaba sin una buena cantidad de pesos en el banco. Ah, este tema te lo comenté en detalle hace un montón, en esta nota cuando fue novedad en El Gran País del nortE. Parecen haberlo adaptado/modificado y ahora se están acercando, ¿te quedó claro?
Observación importante: si te llega algo parecido, ni se te ocurra hacerle clic para ver cómo se llama el ejecutable, como hice yo. Es que yo el email lo abrí desde una máquina con Linux, y luego seguí destripando el tema desde allí.

"Procedimiento Investigatorio"

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.