La página web http://www.lmssgob.mx es un clon malicioso de la página oficial del IMSS diseñado para robar datos personales y bancarios. Contiene un formulario falso y descarga un troyano bancario disfrazado de actualización de Java. El análisis revela que el sitio fue creado recientemente con el propósito de suplantar la identidad del IMSS y robar información confidencial.

1. Caso: Suplantación de identidad a IMSS
A través de patrullaje en la red, se pudo detectar un clon de la página oficial del Instituto
Mexicano del Seguro Social [ http://imss.gob.mx ( IP: 201.144.108.20 )], en el cuál se pueden
realizar una variedad de consultas, trámites así como verificar el status de alguna solicitud.
La página fraudulento en cuestión, intenta engañar al usuario mediante el uso de una URL
muy parecida a la oficial; dada por:
→ http://www.lmssgob.mx – IP: 217.70.184.38
En la que se puede deducir:
✔ Se cambia la primera letra después del www, en la página oficial se aprecia
http://www.imss.gob.mx (nótese la letra ' i ' [ i latina ])
✔ La página fraudulenta no sigue esta nomenclatura por 2 razones:
 La primera letra del dominio fraudulento es http://www.lmssgob.mx
( letra ' l ' [ ele ])
 NO es un dominio de gobierno, ya que su terminación es .mx y no .gob.mx; sin
embargo, tratan de utilizar dicho domino para hacerlo parecer confiable y
fidedigno → www.lmssgob.mx
Información de WHOIS: Technical Contact:
$ whois -v lmssgob.mx Name: Mauricio Felix
City: Hermosillo
Domain Name: lmssgob.mx State: Sonora
Country: Mexico
Created On: 2012-10-24
Expiration Date: 2013-10-24 Billing Contact:
Last Updated On: 2012-10-24 Name: Mauricio Felix
Registrar: Gandi SAS City: Hermosillo
URL: http://www.gandi.net/ State: Sonora
Registrant: Country: Mexico
Name: Mauricio Felix
City: Hermosillo Name Servers:
State: Sonora DNS: b.dns.gandi.net
Country: Mexico DNS: c.dns.gandi.net
DNS: a.dns.gandi.net
Administrative Contact:
Name: Mauricio Felix
City: Hermosillo
State: Sonora
Country: Mexico

3. Al inspeccionar el código de dicha página falsa, se encuentra:
1. Un formulario en el cual se piden los siguientes datos:
– Certificado Digital – Usuario
– Llave Privada – Contraseña
→ Código Javascript:
Significa que si no se anexa el archivo con dichas
terminaciones (.p12, .pfx o .cer) no se valida la forma por
lo que es “imposible” adjuntar dicho archivo
2. Dentro de los meta de la página, se puede encontrar un contador para la descarga de un archivo
supuestamente utilizado para actualización de plugins de Java:
Archivo a descargar al
momento de terminar el
tiempo de dicho contador.
Contador a 5
segundos para luego
proceder a la
descarga

4. 3. Es importante mencionar que en la línea 4:
➢ Se agregó automáticamente un comentario a la línea; en el cual se especifica que fué
agregado por un servicio llamado HTTrack ( http://www.httrack.com/ )el cual se trata
de un Software de Código Libre con el cual se puede clonar localmente cualquier
página Web, en la cual el procedimiento que se está siguiendo es:
→ Se clona la página objetivo
→ Los estilos, así como los links periféricos son auténticos, para hacer más creíble la
página.
→ La única edición que se da es en la forma de contacto, en la cual se editan las rutas al
momento de ingresar datos para que los datos no sean enviados a los servidores del
IMSS, sino del atacante que busca pasarse por dicha Web.
4. El archivo para “actualizar” Java en cuestión:
http://www.lmssgob.mx/descargas/auth/imss/download.asp/javapolicy.exe
Al inspeccionar dicho archivo, se analiza lo siguiente:

5. Se trata de un troyano bancario, el cuál su única función es inspeccionar por medio de
expresiones regulares si se encuentran datos guardados tanto en el navegador como
en el caché de las páginas para el robo de datos, cuentas e información.
Dicho troyano es: Trojan-Spy.Win32.Zbot.gdlb
Referencia: Kaspersky Labs → http://support.kaspersky.com/sp/faq/?qid=208280041
Esta muestra ha sido marcado por el banco de datos de Hispasec como un troyano bancario,
es decir, un troyano que roba información bancaria para realizar transferencias no
autorizadas a nombre de las cuentas atacante.
Nombre de la familia: Zeus
Este troyano roba credenciales de entidades financieras bancarias / u organizaciones.
Resúmen:
Zeus es una amenaza troyano diseñado para robar datos del sistema de la víctima. Es más
conocido por robar información de la cuenta financiera por ejemplo, datos bancarios en
línea de inicio de sesión y los datos de la cuenta. Una vez que el archivo binario infectado se
instala en una máquina, se conecta a un servidor de comando y control, y también supervisa
la actividad de Internet y archivos de datos robados.
Datos técnicos:
ssdeep
3072:zhsVGOkYpXiz5ESo7ZNCPYZzKmPatSvuCvlTbU+N0:KV/cS7uYZz5dp4+u
TrID
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
ExifTool
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 1992:06:19 23:22:17+01:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 12800
LinkerVersion............: 2.25
EntryPoint...............: 0x3f10

6. InitializedDataSize......: 145408
SubsystemVersion.........: 4.0
ImageVersion.............: 0.0
OSVersion................: 4.0
UninitializedDataSize....: 0
Portable Executable structural information
Compilation timedatestamp.....: 1992-06-19 22:22:17
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x00003F10
PE Sections...................:
Name Virtual Address Virtual Size Raw Size Entropy MD5
CODE 4096 12324 12800 6.51 e9d7551e4733933678daf419a7e48f24
DATA 20480 141664 141824 6.02 8fbc41dca1b124d6f91cdf2b0b52bfaa
BSS 163840 1645 0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 167936 1270 1536 4.07 64a4a218ae1d12ff05a4d7e0a5768585
.tls 172032 8 0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 176128 24 512 0.21 502b30e972b451804db54bdccf9f7699
.reloc 180224 828 1024 5.82 39b17922b11700a0b6f614dd4b7e03e0
.rsrc 184320 512 512 2.35 9d64844a06233bf15fcb3aeff6d345e3
PE Imports....................:
[[advapi32.dll]]
RegOpenKeyExA, RegQueryValueExA, RegCloseKey
[[shell32.dll]]
SHBrowseForFolderW, ShellExecuteW, DragQueryPoint, SHGetSpecialFolderLocation,
DragQueryFileA, SHFileOperationA
[[kernel32.dll]]
GetStdHandle, EnterCriticalSection, lstrlenA, GetModuleFileNameW, FreeLibrary, ExitProcess,
GetThreadLocale, RtlUnwind, DeleteCriticalSection, GetStartupInfoA, GetLocaleInfoA, LocalAlloc,
GetModuleHandleW, UnhandledExceptionFilter, GetCommandLineA, lstrcatW, lstrcpyW,
RaiseException, GetModuleHandleA, WriteFile, GetCurrentThreadId, LocalFree,
InitializeCriticalSection, VirtualFree, TlsGetValue, Sleep, TlsSetValue, GetVersion, VirtualAlloc,
LeaveCriticalSection
[[user32.dll]]
UnregisterHotKey, MessageBoxA, GetKeyboardType, GetSystemMetrics
PE Resources..................:
Resource type Number of resources
RT_RCDATA 2
Resource language Number of resources
NEUTRAL 2

7. First seen by VirusTotal
2012-10-25 18:33:03 UTC ( 1 week, 6 days ago )
Last seen by VirusTotal
2012-11-07 19:22:54 UTC ( 3 minutes ago )
File names (max. 25)
1. javapolicy.exe
2. 9ce751c75c7dc57397a8efaf554
3. file-4689996_exe
4. SAT_Aviso_Cero-2.0.exe
5. Renuevacertificados.exe
> Minería de datos de la URL maliciosa:
domain: lmssgob.mx
reg_created: 2012-10-24 12:26:39 Creada apenas el 24 de Octubre
expires: 2013-10-24 12:26:39 del 2012
created: 2012-10-24 14:26:40
changed: 2012-10-24 15:19:39
transfer-prohibited: yes
ns0: a.dns.gandi.net
ns1: b.dns.gandi.net
ns2: c.dns.gandi.net
owner-c:
nic-hdl: MF4544-GANDI
owner-name: Mauricio Felix
organisation: ~
person: Mauricio Felix
address: "Blvd. Morelos #432rnCol Bachoco"
zipcode: 83148
city: Hermosillo
state: Sonora
country: Mexico
phone: +52.6622593108
fax: ~
email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net
lastupdated: 2012-10-24 14:18:27
admin-c:
nic-hdl: MF4544-GANDI
owner-name: Mauricio Felix
organisation: ~

8. person: Mauricio Felix
address: "Blvd. Morelos #432rnCol Bachoco"
zipcode: 83148
city: Hermosillo
state: Sonora
country: Mexico
phone: +52.6622593108
fax: ~
email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net
lastupdated: 2012-10-24 14:18:27
tech-c:
nic-hdl: MF4544-GANDI
owner-name: Mauricio Felix
organisation: ~
person: Mauricio Felix
address: "Blvd. Morelos #432rnCol Bachoco"
zipcode: 83148
city: Hermosillo
state: Sonora
country: Mexico
phone: +52.6622593108
fax: ~
email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net
lastupdated: 2012-10-24 14:18:27
bill-c:
nic-hdl: MF4544-GANDI
owner-name: Mauricio Felix
organisation: ~
person: Mauricio Felix
address: "Blvd. Morelos #432rnCol Bachoco"
zipcode: 83148
city: Hermosillo
state: Sonora
country: Mexico
phone: +52.6622593108
fax: ~
email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net
lastupdated: 2012-10-24 14:18:27