Nuevamente tomamos conocimiento de una campaña de correos falsos que con un pretexto de cuestiones comerciales intenta conseguir que la víctima descargue supuestos documentos de deudas vencidas.
El correo dice lo siguiente:
Asunto: Vencimiento por favor regularizarY se ve como en esta captura donde se destacan los enlaces que el atacante pretende que la víctima accione:
Nos ponemos en contacto con usted en referencia a la factura número 901/12.DOC y 901/13.DOC de fecha 5 de octubre del 2012, por importe de 450 pesos, con vencimiento el día 5 de noviembre
El motivo de la comunicación es que hasta la fecha no hemos recibido la confirmación del pago de la factura mencionada, por lo que le rogaríamos que efectuara el abono de la misma lo antes posible.
Puede ver los detalles de las mismas en los siguientes links (formato microsoft word .doc)
Si tiene cualquier duda al respecto puede ponerse en contacto con el Sr Alejandro Fernandez en el siguiente teléfono 4337-8712
Sin otro particular, aprovecho para enviarle un cordial saludo.
Alejandro Fernandez - Departamento de legales
En este correo se incluyen varios enlaces como estos:
- http://www.salzburgcollege.com/[ELIMINADO]?r=http://www.chantier-allemand.com/[ELIMINADO]/Ver_detalles_DOC.zip
- http://www.stat.si/oecd/[ELIMINADO]?url=med-healthcare.com/[ELIMINADO]/Ver_detalles_DOC.zip
Este archivo es un malware del tipo downloader apenas es detectado por 8 de 43 motores AV según informa VirusTotal.
Una vez descargado y ejecutado el downloader procederá a su vez a descargar en la PC un malware tipo screen overlay y los hace en este caso desde:
- http://espadana-walker.com/[ELIMINADO]/turbodriver.exe
- http://www.vip-ligh[ELIMINADO].pl/turbodriver.exe
- http://www.mas-cote-suze.com/fr/[ELIMINADO]/turbodriver.exe
Este último malware (turbodriver.exe), solo identificado por 12 de 43 motores AV según VirusTotal, se ocupa de registrar y robar información (usuario, contraseña, tarjeta de coordenadas) de acceso a distintos sitios de banca electrónica argentinos:
- Standard Bank
- Macro
- Supervielle
- Banco Patagonia
Con estos formularios sobreimpresos (overlay) en la página web del banco, se solicitan datos que el banco no pide, tal como la tarjeta de coordenadas completa. Esta información luego es enviada al delincuente.
Al investigar los sitios de descarga del malware bancario, se encuentró que en uno de ellos se hallaba aún otro archivo ejecutable (knowbasems.exe) similar, detectado por 12 de 44 motores antivirus según VirusTotal, y que afecta a los bancos:
- Standard Bank
- Banco de Tucuman
- Macro
- Supervielle
Origen de los correos:
Nuevamente comprobamos, como vimos hace dos semanas, que estos correos han sido enviados desde dominios de correo de empresas u organizaciones en los que se ha comprometido de alguna manera el sistema de correo o algunas cuentas de usuarios. Estas son algunas:
- @cmcserviciossrl.com.ar
- @hotelastor.com.ar
- @clubgodoycruz.com.ar
- @encina.com.ar
- @delfuturolibros.com.ar
- @moduace.com.ar
Desde Segu-Info hemos hecho las denuncias correspondientes. Comprobamos además que en sectores administrativos de empresas pueden caer fácilmente como víctimas de este tipo de correos engañosos.
Es importante trabajar en la concientización de las personas y enseñarles algunas directivas básicas, sencillas y sumamente efectivas como lo es la recomendación de no acceder a adjuntos ni enlaces no solicitados en correos, sin importar su origen.
Muchas gracias Ernesto por la investigación del malware y datos aportados!
Raúl de la Redacción de Segu-Info
