Esta web no es PayPal y sólo quiere tu dinero

Virus

El phishing es una de las amenazas más peligrosas a las que se enfrentan los usuarios cuando navegan por Internet, ya que pueden abrir sin querer enlaces en su correo electrónico que le lleven a páginas web que se parezcan tanto a las reales que introduzcan las credenciales de acceso, dándoselas al hacker. Sin embargo, a ese tipo de webs ahora hay que sumarle una nueva amenaza: una que se hace pasar por PayPal y que mete ransomware en tu ordenador.

Nemty: el ransomware que te instala esta web falsa que se hace pasar por PayPal

Esta página web es una muy buena copia de la PayPal, y algunos usuarios están viéndose infectados por una nueva variante del ransomware Nemty. La página web falsa usa como cebo para los usuarios el pagarles supuestamente entre un 3 y un 5% del dinero que utilicen para realizar compras a través de esa web.

paypal cashback falso

En la web ofrecen el cashback de entre 3 y 5%, y te dicen que tienes que descargar una aplicación para poder recibir ese dinero. Si pulsas en descargar, la web descarga un archivo llamado cashback.exe, que es el que contiene el ransomware que posteriormente pasa a cifrar todos los archivos del ordenador de la víctima. Un investigador de seguridad hizo la prueba en un ordenador, y en sólo 7 minutos todos los archivos de su ordenador estaban cifrados. Este tiempo varía dependiendo de la velocidad de nuestras unidades y de la cantidad de archivos almacenados que tengamos en ellas.

La web es muy creíble, ya que los enlaces en los que pinchas te llevan a distintos elementos reales de las páginas web dentro del propio dominio, como las páginas de ayuda, contacto, etc. Estos enlaces tienen la misma URL que la web real, aunque sustituyen algunas letras por caracteres cirílicos o de otros alfabetos para hacernos creer que estamos en la URL real, ya que la barra de direcciones de los navegadores web las muestran de manera idéntica. Así, la URL se veía como paypal.com, pero la URL real era xn--ayal-f6dc.com en Punycode. La página empezó a ser bloqueada rápidamente por los navegadores web, y el dominio ya no está disponible.

El malware se activa si tu ordenador no está en ruso

El ransomware se encontraba en su versión 1.4, y es muy fácil descubrir cuál era su origen. En su código había una comprobación “isRU”, que comprobaba si el ordenador en el que había sido instalado el ransomware usa el idioma ruso y si estaba en países como Rusia, Bielorrusia, Kazajistán, Tayikistán o Ucrania. Si detectaba alguno de esos países, el malware cifraba ningún dato. Si el país era cualquier otro, el malware empezaba a cifrar todos los datos del ordenador. Nemty además elimina todas las copias de seguridad de dispositivos que tengamos en el ordenador.

El ransomware pide en torno a 0,1 bitcoins a cambio de descifrar los datos, que son unos 1.000 dólares. El portal de pago está alojado en la red Tor para el mayor anonimato posible.

Escrito por Alberto García

Fuente > Bleeping Computer

Continúa leyendo
  • Sergio Hernández Pitarch

    Venga, a ver cuántos pringados atontados de la vida que no se fijan en nada caen 😂

    • Nelson Muntz

      Lo malo es que todos esos atontaos que alimentan estos tipos de estafas son como los antivacunas, que nos ponen en riesgo a los demas.

  • DISQUS

    Recomiendo asociar a Paypal o Ebay, Amazon, etc… una tarjeta virtual recargable, en mi caso esta es de BBVA gratis sin comisiones, siempre la tengo con un par de euros, solo recargo la cantidad a pagar en el momento.

  • Olimpo

    Recientemente hice una compra a través de PayPal en la tienda de Supercell, una desarrolladora de juegos, entre ellos Brawl Stars, que era el juego instalado a través del cual hice la compra. La instalación en emulador bluestacks en W10. La cuestión es que me ha duplicado la compra y realizado otras, todas ellas aprobadas por PayPal y realizas a favor de Googleplay para Supercell (asumidas como auténticas por PayPal al llevar correo y contraseña) la cuestión es que ya he desvinculado el pago de google y después de 131.50 € estoy esperando que se pronuncie si me van a reintegrar algo o no. No se si está hackeado el juego, el bluestacks o qué demonios, pero no vuelvo a hacer una compra en PayPal ni de casualidad. A partir de ahora todo compras con tarjeta directa y verificación en dos pasos.