En días recientes se detectó un ataque que fue reportado al Laboratorio de ESET Latinoamérica desde ESET en Venezuela. El ataque comienza con la propagación de un correo falso que dice provenir del SENIAT (Servicio Integrado de Administración Aduanera y Tributaria), haciendo uso de la Ingeniería Social la posible víctima puede seguir el enlace a una página maliciosa que lleva a la descarga de esta amenaza. Una vez que el usuario recibe el correo y cae víctima del engaño sigue en enlace que lo lleva a la descarga de un archivo que supone ser un PDF, pero que en realidad tiene una doble extensión: seniat.pdf.exe.
Ante la curiosidad del usuario, quien desea conocer las posibles novedades acerca de temas de índole jurídica y de impuestos de su país, puede pasar por alto que este archivo cuenta con una doble extensión y ejecutar el mismo. Al hacerlo en realidad no estaría abriendo un PDF sino un troyano detectado como Win32 Qhost.NHN por ESET NOD32 Antivirus. Esta muestra se encuentra empaquetada con una variante de UPX para dificultar su análisis.
Según Pablo Ramos, Especialista en Awareness & Research de ESET “La amenaza esta diseñada para modificar el archivo host del sistema y de ese momento en adelante, cuando el usuario quiera acceder a la página de su banca electrónica en realidad estará accediendo a una página falsa en la que sus datos podrían ser robados por el atacante”.
