12 mar 2011

CNN: Gran terremoto deja muertos en Centro América

A horas del Tsunami en Japón, si entras a esta noticia tentado por el título, eres una posible víctima de varios correos que se han reportado a Segu-Info y que corresponden a correos que dicen provenir de CNN y que al igual que informamos ayer sobre el Phishing a Visa que abusan de una plataforma de e-mail marketing, en este caso se vuelve a hacer uso de la misma técnica contra otra empresa argentina de Hosting y que permite envíos de correos a través de su plataforma.

El texto del correo es el siguiente (errores incluidos):
Un equipo de CNN se encuentra en la zona del desaste cubriendo minuto a minuto los pormenores de los fuerte sismos de magnitud 8.2 que sacudieron Centro America esta madrugada, provocando al menos 132 muertos y derrumbes de viviendas que llevaron a declarar a parte varios paises como zona de emergencia, la electricidad y las líneas telefónicas han sido cortadas, según medios locales, en Panama se vivio una pesadilla durante 59 segundos y varias viviendas se vieron afectadas por el movimiento sismico, lo mismo ocurrio en Cuba.

Esta vez los epicentro se ubicaron en varias ciudades como La Havanna, Republica Dominicana, Guatemala, Honduras pero tambien se sintió en Chile, Peru, Argentina y Brasil a a lo cual se han dado alertas internacionales de tsunami.

Después de sufrir varias réplicas, la mayor de ellas de 7.9 según el servicio geológico de Estados Unidos (USGS, por su sigla en inglés), los aeropuertos de en todo el pais fueron cerrados.
La mayoria de movimientos teluricos se registraron a las 5 de la mañana y se ha obligado a emitiar una alerta por Tsunami en todas las regiones costeras de Peru, Chile, Uruguay, Paraguay, Panamá, Costa Rica y la Antártida, así como un aviso preliminar ante la posibilidad de la aparición de una ola gigante que puede alcanzar las costas de Venezuela.
El correo, que intenta asustar al usuario para que ingrese a ver un supuesto video, se vé de la siguiente manera:
Como puede verse en enlace para ver el video conduce a un sitio web que permite la redirección de enlaces y por lo tanto, si los mismos no han sido validados, pueden ser aprovechados de forma dañina.

En este caso la URL está codificada en Base64 y si se decodifica la misma, se puede ver el enlace dañino que descarga un malware al equipo del usuario.

Cadena codificada en Base64: aHR0cDovL3d3[ELIMINADO]LWxhcnJpZXUuY29tL0NOTi92aWRlb3NfdGVycmVtb3RvL3VyZ2VudGUucGhwP
URL decodificada:
http://www.larrieu-[ELIMINADO].com/CNN/videos_terremoto/urgente.php


Un ejemplo de utilización de esta técnica sería el siguiente:
http://www.[ELIMINADO]simple.com/link.php?URL=aHR0cDovL3d3dy5zZWd1LWluZm8uY29tLmFy
En donde en este caso se redirige al usuario al sitio de Segu-Info.

El sitio web al que se hace referencia (http://www.larrieu-[ELIMINADO].com) ha sido vulnerado y esto ha permitido alojar el script urgente.php y las imágenes necesarias para crear el mensaje de correo electrónico visto arriba:
Finalmente el archivo PHP mencionado descarga el archivo tmp.exe, un troyano que, si el usuario descarga y ejecuta (en busca del supuesto video), se instalará en el equipo.

Como conclusión, nuevamente vemos que una empresa argentina con una gran cantidad de clientes, es vulnerable a una técnica de ataque a través de sus "soluciones" de email Marketing.
Esta técnica es sumamente conocida y fácil de explotar por los delincuentes, que no han dejado pasar la oportunidad y la han aprovechado para su beneficio.

Actualización: Luego de nuestra comunicación a la empresa, la misma ha dado de baja el usuario que originalmente envió en correo falso y nos han informado que se encuentran trabajando en la solución de la vulnerabilidad denunciada.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!