Falsos mensajes de Claro simulan la recepción de MMS
En el día de hoy nos han reportado un correo que simula provenir de la empresa de telefonía Claro y en el cual se informa que se ha recibido un mensaje MMS. En realidad, el objetivo del correo es propagar un troyano bancario.
El mensaje que recibe el usuario es el siguiente:
Si el usuario hace clic sobre el enlace ingresa al sitio de una popular heladería argentina, cuyo sitio ha sido vulnerado y en el cual se ha alojado una serie de archivos dañinos.
El script PHP
http://www.[ELIMINADO].com.ar/async/include/novedades/MensajesMultimdia/iclaro/ClaroMultimedia.php descarga un archivo ejecutable ClaroMultimedia.EXE detectado por varios antivirus y cuyo objetivo es modificar el archivo hosts del sistema apuntando varios bancos peruanos a una dirección IP donde se encuentran réplicas de los mismos (Pharming Local):
[ELIMINADO].22.248.234 www.viabcp.com
[ELIMINADO].22.248.234 viabcp.com
[ELIMINADO].22.248.234 www.bn.com.pe
[ELIMINADO].22.248.234 bn.com.pe
Desde Segu-Info ya nos hemos puesto en contacto con la empresa de la heladería para que proceda a eliminar los archivos dañinos y solucionar las vulnerabilidad en su servidor.
!Gracias a Ernesto por la denuncia!
Actualización 21/07: la heladería ya ha eliminado el archivo dañino de sus servidores.
Cristian de la Redacción de Segu-Info
El mensaje que recibe el usuario es el siguiente:
Si el usuario hace clic sobre el enlace ingresa al sitio de una popular heladería argentina, cuyo sitio ha sido vulnerado y en el cual se ha alojado una serie de archivos dañinos.
El script PHP
http://www.[ELIMINADO].com.ar/async/include/novedades/MensajesMultimdia/iclaro/ClaroMultimedia.php descarga un archivo ejecutable ClaroMultimedia.EXE detectado por varios antivirus y cuyo objetivo es modificar el archivo hosts del sistema apuntando varios bancos peruanos a una dirección IP donde se encuentran réplicas de los mismos (Pharming Local):
[ELIMINADO].22.248.234 www.viabcp.com
[ELIMINADO].22.248.234 viabcp.com
[ELIMINADO].22.248.234 www.bn.com.pe
[ELIMINADO].22.248.234 bn.com.pe
Desde Segu-Info ya nos hemos puesto en contacto con la empresa de la heladería para que proceda a eliminar los archivos dañinos y solucionar las vulnerabilidad en su servidor.
!Gracias a Ernesto por la denuncia!
Actualización 21/07: la heladería ya ha eliminado el archivo dañino de sus servidores.
Cristian de la Redacción de Segu-Info
Heladeria? el tio alfreddo tiene PUT
ResponderBorrarSaludos
AnonimoK
Hola AnonimoK, no es esa :)
ResponderBorrarCristian
hola a mi me ha llegado tambien ese msje en mi bandeja de correo no deseado y le di clic pero sale como pag. no encontrada , existe algun riesgo con mi cuenta de correo, este mensaje me ha llegado el dia 26 de julio
ResponderBorrarel dia 26 de julio me ha llegado este falso mensaje y le di clic y sale pagina no encontrada , existe el riesgo de que mi correo haya sido hackeado
ResponderBorrarHola Anonimo,
ResponderBorrarNo, esos correos llegan normalmente y si no instalaste nada (por el error 404) no hay peligro en este caso en particular. De todos modos nunca debes ingresar a esos enlaces.
Cristian
Hola segu-info,
ResponderBorrarAcabo de ver este mensaje pero como no veía el link, presione el boton de Leer como mensaje seguro, y el mensaje paso a mi bandeja de entrada. Hay algun riesgo? No se instaló ni ejecutó nada.
Gracias
Hola Anónimo, no, hasta ahí no pasa nada, pero no deberías hacerlo de todos modos.
ResponderBorrarCristian
Hola! Recibí este mensaje. Quien lo enviaba, supuestamente, era CLARO PERU; sin embargo, en los datos de responder salia "post_new@app-facebook" y otro mail que tenía "hammer.netcabin". Lamentablemente me di cuenta de esto luego de darle click al link, me salió un msje en francés que pedía disculpas porque el contenido no estaba disponible.
ResponderBorrarEn realidad, no estoy familiarizada con estos temas de phishing y no sé si solo con dar click ya hay un riesgo, me podrías confirmar?
Por las dudas, borré mi cuenta de correo en gmail, de haber un riesgo, esto es suficiente?
Muchas gracias por su apoyo!
Que pasa si instale el programa como lo desisntalo?
ResponderBorrar