Epidemia de mensajes falsos de personas conocidas

En las últimas horas hemos recibidos decenas de denuncias sobre mensajes de correo que provienen de personas conocidas pero que en realidad son enviados por los sistemas infectados de esas personas.

Los asuntos de los correos varían pero pueden ser:

• como va
• c omo va (separado)
• vi deo (separado)
• presta ate ncion (separado)
• Pay attention
• im ages (separado)
• fa cebook (separado)
• ...

Además los mensajes siempre tienen este texto en el cuerpo (en español):

[PERSONA_CONOCIDA@correo.com] te ha enviado un mensaje privado.
Mensaje Privado

Además los mensajes siempre tienen este texto en el cuerpo (en español):

[PERSONA_CONOCIDA@correo.com] sent you a private message.
Read it here

En "Mensaje Privado" o "Read it here" tiene un enlace a una servidor dañino, de la siguiente forma:
http://[ELIMINADO].168.29.17/?leer=pukima&f=VICTIMA@correo.com&to=NUEVA_VICTIMA@correo.com.ar&n=NOMBRE_CONOCIDO

La dirección IP puede ser distinta en cada correo. A continuación puede verse una imagen con los detalles descriptos:

Si el usuario cae en la trampa puede ser redirigido a dos sitios distintos:

1. Un sitio web falso de un webmail (GMail, Hotmail, Yahoo!, etc) y se le solicita la contraseña. El nombre de usuario es obtenido de la URL anterior, desde el parámetro "to=NUEVA_VICTIMA@correo.com".

En la imagen anterior se puede constar que se ingresó a GMail porque el correo de la víctima en este caso era @gmail.com. Además puede observarse que el usuario se encuentra en un sitio que no es GMail, no es una página segura HTTPS y la captura de la página fue hecha cuando GMail aún ofrecía 2 GB de espacio de almacenamiento, cuando hoy ese número es superior a 10 GB. Luego de ingresar la contraseña, el usuario es redirigido al sitio siguiente sitio web. Cambia tu contraseña.

2. Un sitio web con una supuesta herramienta para rastrear personas por su celular: Buddy Locator es un sitio fraudulento que ofrece servicios de localización y seguimiento online usando números de teléfono móvil e Internet para localizar la posición de tus amigos, novias o hijos utilizando GPS".

Si el usuario presiona "Aceptar" es redirigido a dicho sitio, a través del uso de un acortador y vale aclarar que todo lo que vé el usuario en esta página es falso y está simulado simplemente para dar mayor credibilidad al engaño:

En esta página no importa el número celular que se ingrese, finalmente se hace un "rastreo" y se pide al usuario que ingrese SU número de teléfono celular:

En el primer punto, si el usuario ingresa su contraseña, los delincuentes la van a almacenar y posteriormente utilizan las cuentas de correos para robar la libreta de contacto de las víctimas y enviar el mismo mensaje a todos ellos. Por eso este correo siempre llega de una persona conocida. Si Ud. recibió este mensaje, comunique a su contacto que ya fue una víctima. Cambia tu contraseña.

El "rastreo" posterior (falso) es simplemente una simulación pero los delincuentes utilizan la dirección IP de la víctima para geolocalizarla y de esta manera conocer al menos su país de procedencia. En la imagen se muestra un mapa de parte de Argentina y las operadoras celulares de dicho país.

En este momento algunos de los sitios utilizados están siendo detectados por algunas herramientas de seguridad pero cambian continuamente y la epidemia continúa.

Como puede verse es un engaño bien logrado con un componente de ingeniería social muy básico: una mensaje corto que proviene de un conocido y dá curiosidad el abrirlo.¡NO LO ABRAS! y si lo hiciste cambia tu contraseña o serás la próxima víctima.

Finalmente, es importante destacar que no importa el sistema operativo del usuario ya que el engaño completo no utiliza archivos ejecutables sino simplemente engaños más o menos bien logrados. Hasta ahora no hemos constatado que se descarguen archivos dañinos al sistema, pero no se descarta que se podría hacer cuando el usuario ingresa a algunos de los enlaces suministrados.

Actualización 21:00: los mensajes originales llegaban sólo en español pero ahora también llegan en inglés.Además la redirección se realiza a otro nuevo sitio:

Cristian de la Redacción de Segu-Info