Buscar este blog

viernes, 30 de noviembre de 2012

Correos reclamando deudas vencidas descargan malware

Nuevamente tomamos conocimiento de una campaña de correos falsos que con un pretexto de cuestiones comerciales intenta conseguir que la víctima descargue supuestos documentos de deudas vencidas.
El correo dice lo siguiente:
Asunto: Vencimiento por favor regularizar
Nos ponemos en contacto con usted en referencia a la factura número 901/12.DOC y 901/13.DOC de fecha 5 de octubre del 2012, por importe de 450 pesos, con vencimiento el día 5 de noviembre
El motivo de la comunicación es que hasta la fecha no hemos recibido la confirmación del pago de la factura mencionada, por lo que le rogaríamos que efectuara el abono de la misma lo antes posible.
Puede ver los detalles de las mismas en los siguientes links (formato microsoft word .doc)
Si tiene cualquier duda al respecto puede ponerse en contacto con el Sr Alejandro Fernandez en el siguiente teléfono 4337-8712
Sin otro particular, aprovecho para enviarle un cordial saludo.
Alejandro Fernandez - Departamento de legales
Y se ve como en esta captura donde se destacan los enlaces que el atacante pretende que la víctima accione:

En este correo se incluyen varios enlaces como estos:
  • http://www.salzburgcollege.com/[ELIMINADO]?r=http://www.chantier-allemand.com/[ELIMINADO]/Ver_detalles_DOC.zip
  • http://www.stat.si/oecd/[ELIMINADO]?url=med-healthcare.com/[ELIMINADO]/Ver_detalles_DOC.zip
En estos se abusa de la vulnerabilidad de redirección abierta de dos sitios web con buena reputación, para redirigir a otros sitios con fallas de seguridad donde los delincuentes han "plantado" el archivo de malware, engañosamente con el nombre Ver_detalles_DOC.zip.

Este archivo es un malware del tipo downloader apenas es detectado por 8 de 43 motores AV según informa VirusTotal.

Una vez descargado y ejecutado el downloader procederá a su vez a descargar en la PC un malware tipo screen overlay y los hace en este caso desde:

  • http://espadana-walker.com/[ELIMINADO]/turbodriver.exe
  • http://www.vip-ligh[ELIMINADO].pl/turbodriver.exe
  • http://www.mas-cote-suze.com/fr/[ELIMINADO]/turbodriver.exe

Este último malware (turbodriver.exe), solo identificado por 12 de 43 motores AV según VirusTotal, se ocupa de registrar y robar información (usuario, contraseña, tarjeta de coordenadas) de acceso a distintos sitios de banca electrónica argentinos:
  • Standard Bank
  • Macro
  • Supervielle
  • Banco Patagonia
Este malware bancario una de las cosas que hace es presentar formularios falsos en el navegador cuando uno ingresa al sitio web del banco.



Con estos formularios sobreimpresos (overlay) en la página web del banco, se solicitan datos que el banco no pide, tal como la tarjeta de coordenadas completa. Esta información luego es enviada al delincuente.

Al investigar los sitios de descarga del malware bancario, se encuentró que en uno de ellos se hallaba aún otro archivo ejecutable (knowbasems.exe) similar, detectado por 12 de 44 motores antivirus según VirusTotal, y que afecta a los bancos:
  • Standard Bank
  • Banco de Tucuman
  • Macro
  • Supervielle
Este último, de más de un mes de antigüedad, muestra que el dueño del sitio web abusado para su almacenamiento, un sitio web con problemas de seguridad, sigue sin corregir sus problemas y ni siquiera ha escaneado los archivos que tienen en su servidor.

Origen de los correos:
Nuevamente comprobamos, como vimos hace dos semanas, que estos correos han sido enviados desde dominios de correo de empresas u organizaciones en los que se ha comprometido de alguna manera el sistema de correo o algunas cuentas de usuarios. Estas son algunas:
  • @cmcserviciossrl.com.ar
  • @hotelastor.com.ar
  • @clubgodoycruz.com.ar
  • @encina.com.ar
  • @delfuturolibros.com.ar
  • @moduace.com.ar
Esto último sumado y la otras características descriptas de estos correos, le permiten al delincuente superar con facilidad muchos filtros de correo spam, alcanzando así a sus potenciales víctimas.

Desde Segu-Info hemos hecho las denuncias correspondientes. Comprobamos además que en sectores administrativos de empresas pueden caer fácilmente como víctimas de este tipo de correos engañosos.

Es importante trabajar en la concientización de las personas y enseñarles algunas directivas básicas, sencillas y sumamente efectivas como lo es la recomendación de no acceder a adjuntos ni enlaces no solicitados en correos, sin importar su origen.

Muchas gracias Ernesto por la investigación del malware y datos aportados!

Raúl de la Redacción de Segu-Info

No hay comentarios.:

Publicar un comentario