Correos de Brasil con supuestos presupuestos en DOC y PDF infectan usuarios

En el día de hoy nos han reportado varios casos de correos en portugues que mencionan un supuesto presupuesto en formato DOC y PDF y que el usuario debe responder a la brevedad.

En el código fuente del correo se pueden ver los enlaces a los archivos mencionados y lo primero que se puede ver es que en realidad conducen a un script index3.php alojado en un servidor vulnerable del sitio www.[ELIMINADO]libros.cl.

Este sitio chileno ha sido vulnerado y en el mismo se han almacenado varios archivos más que también descargan otros archivos al equipo del usuario:

En el mismo sitio, en otro directorio también se ha subido una shell para controlar el servidor, es decir ese sitio y todos los demás almacenados allí:

Volviendo al correo, si se presiona sobre cualquiera de sis enlaces, se produce una redirección hacia otro sitio www.[ELIMINADO]galvao.com.br, desde donde se descargan archivos ejecutables dañinos (un troyano reconocido por varios antivirus) y es importante remarcar que los archivos no son DOC ni PDF:

El sitio de Brasil ha sido creado hace un par de días, lo cual demuestra la velocidad que tienen los delincuentes en obtener el acceso a servidores que tiene vulnerabilidades y no han sido correctamente asegurados:

domain: [ELIMINADO]galvao.com.br
owner: STELA BORDIN
country: BR
nserver: ns1.dominios.uol.com.br
created: 20110125 #7819640

Los archivos descargados por los distintos scripts son los siguientes:

index1.php --> DOCUMENTO-RELATORIO.scr
index2.php --> PLANILHA-ORCAMENTO.scr
index3.php--> RELATORIO-ORCAMENTO.scr

Luego de las denuncias realizadas por Segu-Info, tanto el sitio chileno como brasilero han procedido a eliminar los archivos dañinos y los scripts y shell, lo cual demuestra la importancia de realizar el seguimiento de estos casos, para proteger al usuario.

Cristian y Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín