Datos robados por un troyano
En el día de ayer nos han reportado un correo que tiene por objetivo propagar un malware pero que, si se analiza el caso con cuidado, se pueden encontrar otros aportes interesantes que nos "regala" el atacante y desde su análisis queda claro el objetivo financiero del ataque.
El correo recibido, en portugués, es el siguiente:
El supuesto comprobante, que dice provenir de la empresa Unilever, en realidad es un conocido malware del tipo Downloader que descarga otros malware al equipo del usuario infectado.
El archivo es descargado desde http://www.unilev[ELIMINADO].com/anexo.php y podría pensarse que este es el sitio de Unilever pero en realidad el sitio real de la empresa mencionada es unilever.com
Si se visualiza el contenido del sitio web, podía verse el siguiente listado:
Además del archivo ejecutable mencionado, cada uno de los archivos TXT visualizados contiene una lista de correos electrónicos que, presumiblemente, es la lista a quien se envío el correo con el engaño:
La lista completa alcanza los 930.000 correos de muchos países latinoamericanos.
Pero, un día después (hoy 18/06), esta lista ya no se encuentra disponible en el sitio web y, a cambio, podemos encontrar la información recolectada (robada) por estos delincuentes en un archivo comprimido:
Este archivo contiene 1.085 archivos (0,11% de la cantidad de correos enviada) con los datos robados, en el siguiente formato:
Es decir que 1 en 1000 correos enviados tuvieron éxito y lograron que el usuario descargue el troyano. Esta tasa de éxito es altísima.
Por supuesto cada cada archivo contiene información completamente actualizada y funcional en donde se pueden encontrar datos sumamente confidenciales de SMTPs, POPs, ADs, VPNs, escritorios remotos, tarjetas de crédito, cuentas de homebanking y cientos de otro tipo de información, captura por el troyano y enviada al atacante.
Cristian de la Redacción de Segu-Info
El correo recibido, en portugués, es el siguiente:
El supuesto comprobante, que dice provenir de la empresa Unilever, en realidad es un conocido malware del tipo Downloader que descarga otros malware al equipo del usuario infectado.El archivo es descargado desde http://www.unilev[ELIMINADO].com/anexo.php y podría pensarse que este es el sitio de Unilever pero en realidad el sitio real de la empresa mencionada es unilever.com
Si se visualiza el contenido del sitio web, podía verse el siguiente listado:
Además del archivo ejecutable mencionado, cada uno de los archivos TXT visualizados contiene una lista de correos electrónicos que, presumiblemente, es la lista a quien se envío el correo con el engaño:
La lista completa alcanza los 930.000 correos de muchos países latinoamericanos.Pero, un día después (hoy 18/06), esta lista ya no se encuentra disponible en el sitio web y, a cambio, podemos encontrar la información recolectada (robada) por estos delincuentes en un archivo comprimido:
Este archivo contiene 1.085 archivos (0,11% de la cantidad de correos enviada) con los datos robados, en el siguiente formato:
Es decir que 1 en 1000 correos enviados tuvieron éxito y lograron que el usuario descargue el troyano. Esta tasa de éxito es altísima.Por supuesto cada cada archivo contiene información completamente actualizada y funcional en donde se pueden encontrar datos sumamente confidenciales de SMTPs, POPs, ADs, VPNs, escritorios remotos, tarjetas de crédito, cuentas de homebanking y cientos de otro tipo de información, captura por el troyano y enviada al atacante.
Cristian de la Redacción de Segu-Info
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
-
Posts Relacionados:
Publicar un comentario en la entrada
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!