Falso aviso de multas fotográficas descargan malware
Recibimos reportes sobre correos falsos que imitan un aviso sobre multas pendientes e incluyen supuestos enlaces a las foto-multas y se amenaza a los supuestos infractores con enviarlos al Veraz. El mensaje de correo (errores incluidos) es el siguiente:
Los enlaces a las (inexistentes) fotografías, son en realidad URLs que abusan de fallas de redireccionamiento de dos sitios web y redirigen a la víctima a la descarga del archivo malicioso Video_Player_FLash_Avi.exe o también Infraccion_9073462_PDF.exe alojados en otros sitios vulnerados y con antecedentes de alojar malware.
Con esta maniobra los delincuentes intentan y logran superar filtros de correo que evalúan la reputación de los vínculos. Al evaluar solo la primer parte del vínculo y no el resto del enlace, no "ven" nada objetable y los mensajes pasan sin problemas en la mayoría de los sistemas.
Si se analiza la cabecera de los correos se puede ver el origen de los mismos:
Un exámen elemental que puede hacer el receptor de tales mensajes es posar el puntero sobre los hipervínculos, y así verá que los enlaces no tienen relación con ningún sitio de gobierno. Las Foto 1 y 3 conducen a:
http://gsf.[ELIMINADO].it/content/page.html?id_gsf=592737&link=http://www.mueller[ELIMINADO].com/files/Video_Player_FLash_Avi.exe
La Foto 2 conduce a:
http://blog.[ELIMINADO].com/click/?adid=1250&adurl=http://www.tellu[ELIMINADO].com/refrac_v1/Video_Player_FLash_Avi.exe
Otros enlaces utilizados son:
http://www.biz[ELIMINADO].com/rd2?t=http://www.mangall[ELIMINADO].com/css/Infraccion_9073462_PDF.exe
http://uni70.o[ELIMINADO].de/game/redir.php?url=http://www.luz[ELIMINADO].com/css/Infraccion_9073462_PDF.exe
http://www.biz[ELIMINADO].com/rd2?t=http://www.niran[ELIMINADO].com/img/Infraccion_9073462_PDF.exe
Desde Segu-Info hemos procedido a las denuncias correspondientes y a dar aviso a los sitios vulnerados. Uno de esos sitios con vulnerabilidades pertenece a un importante grupo editorial europeo. Al momento ya ha sido desactivada la descarga de uno de los sitios. Los antivirus que lo detectan hasta el momento no son demasiados, lo cual es normal por la reciente aparición del archivo dañino.
Hay que recordar ser precavido y dudar de mensajes que nos crean la urgencia por saber de que se trata, es un claro síntoma de los ataques que usan la "ingeniería social".
¡Gracias J. por el aviso original!
Actualización 11/10: los correos siguen llegando con distintas URL para descargar el malware.
Actualización 12/10: este artículo fue mencionado en el diario Clarin.
Actualización 15/10: En una nueva nota explicamos que hace el malware de este correo.
Raúl de la Redacción de Segu-Info
Date: Mon, 10 Oct 2011 01:28:21 -0400
Subject: Usted posee multas pendientes (asunto 1)
Subject: Infracciones de transito pendientes (asunto 2)
From: [email protected] (dirección falsa 1)
From: [email protected] (dirección falsa 2)
Fecha de emision: 10/10/2011 Buenos Aires, Republica Argentina
Estimado contribuyente:
Detectamos en nuestro Sistema Integrado de Multas de transito (SIMT) varias infracciones cometidas por su vehiculo.
Debido a que usted no se notifico en el tribunal de faltas correspondiente le reenviamos las Foto-multas via internet.
Si usted no regulariza las infracciones correspondientes en los proximos 90 dias a partir de la fecha de emision de este comunicado, su vehiculo sera informado como deudor
y pasara a formar parte del Veraz, conforme Ley n 12.799 de 1/04/2009.
La inclusion de su vehiculo en el Veraz le impedira la venta regular de su vehiculo por 2 años en la Republica Argentina.
Adjuntamos en este informe las infracciones realizadas: FOTO 1 - FOTO 2 - FOTO 3
(Articulo 157, 7º de Afip y articulo 2º y 7º de Resolucion nº 149/03 - ARBA) El propietario del vehiculo queda notificado por este medio.
Todas aquellas actas labradas con anterioridad a las fechas especificadas seguirán bajo la orbita de la Unidad Administrativa de Control de Faltas.
Los enlaces a las (inexistentes) fotografías, son en realidad URLs que abusan de fallas de redireccionamiento de dos sitios web y redirigen a la víctima a la descarga del archivo malicioso Video_Player_FLash_Avi.exe o también Infraccion_9073462_PDF.exe alojados en otros sitios vulnerados y con antecedentes de alojar malware.Con esta maniobra los delincuentes intentan y logran superar filtros de correo que evalúan la reputación de los vínculos. Al evaluar solo la primer parte del vínculo y no el resto del enlace, no "ven" nada objetable y los mensajes pasan sin problemas en la mayoría de los sistemas.
Si se analiza la cabecera de los correos se puede ver el origen de los mismos:
Return-Path: [email protected][ELIMINADO].netAllí queda claro que los correos proviene de un sitio vulnerado .NET que nada tiene que ver con el gobierno argentino.
From [email protected][ELIMINADO].net Mon Oct 10 08:47:43 2011
Un exámen elemental que puede hacer el receptor de tales mensajes es posar el puntero sobre los hipervínculos, y así verá que los enlaces no tienen relación con ningún sitio de gobierno. Las Foto 1 y 3 conducen a:
http://gsf.[ELIMINADO].it/content/page.html?id_gsf=592737&link=http://www.mueller[ELIMINADO].com/files/Video_Player_FLash_Avi.exe
La Foto 2 conduce a:
http://blog.[ELIMINADO].com/click/?adid=1250&adurl=http://www.tellu[ELIMINADO].com/refrac_v1/Video_Player_FLash_Avi.exe
Otros enlaces utilizados son:
http://www.biz[ELIMINADO].com/rd2?t=http://www.mangall[ELIMINADO].com/css/Infraccion_9073462_PDF.exe
http://uni70.o[ELIMINADO].de/game/redir.php?url=http://www.luz[ELIMINADO].com/css/Infraccion_9073462_PDF.exe
http://www.biz[ELIMINADO].com/rd2?t=http://www.niran[ELIMINADO].com/img/Infraccion_9073462_PDF.exe
Desde Segu-Info hemos procedido a las denuncias correspondientes y a dar aviso a los sitios vulnerados. Uno de esos sitios con vulnerabilidades pertenece a un importante grupo editorial europeo. Al momento ya ha sido desactivada la descarga de uno de los sitios. Los antivirus que lo detectan hasta el momento no son demasiados, lo cual es normal por la reciente aparición del archivo dañino.
Hay que recordar ser precavido y dudar de mensajes que nos crean la urgencia por saber de que se trata, es un claro síntoma de los ataques que usan la "ingeniería social".
¡Gracias J. por el aviso original!
Actualización 11/10: los correos siguen llegando con distintas URL para descargar el malware.
Actualización 12/10: este artículo fue mencionado en el diario Clarin.
Actualización 15/10: En una nueva nota explicamos que hace el malware de este correo.
Raúl de la Redacción de Segu-Info
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
-
Posts Relacionados:
a mi me acaba de llegar uno asi, gracias por avisar!!
He recibido dos idénticos, y suponía que eran falsos, pero es muy útil esta confirmación. Gracias por la información
Hoy recibí este mensaje. Por suerte los encontré a ustedes y otros blogs donde informan sobre el mismo.
Muy buen servicio comunitario!!
Hola. Y gracias anticipadas. Recibí el correo mencionado, apareció en no deseados. Lo abrí pero no lo hice con las fotos. Qué hago?
Hola
Si no han ejecutado los archivos ejecutables, no sucede nada.
Cristian
OK. Lo elimino YAAAAAAAAAAAAAAA. GRACIAS Cristian
y si lo ejecute? :(
Hola
Si lo ejecutaste, estas infectado. Busca un antivirus :)
Cristian
tengo antivirus, tengo el avast. pero me llego y debido a las multas que tengo con el coche pense q venian por ese lado. pero nada que ver... nose que hacer. me baje el malware para ver si lo saca. corre riesgo mi pc ? que hago ayudaaaaaaaaaaaaaaa :(
Gracias!
Me llegó a mi también, suerte que desconfié y no lo abrí.
y que puedo hacer? Ya baje el malware bytes para ver si lo detecta, y sino? Q pasa si esta infectada? Me pueden hackear el msn, o algunas cuentas? AYUDA
Los antivirus que lo detectan pueden verse en el post.
Cristian
Cristian mil gracias. una preg mas. si no lo saco, puede pasar algo ?
gracias cristian puede pasr algo si no lo borro ?
Muchas gracias!!! me llego un mail asi y me llamo la atencion! no tengo auto! y pense seria verdad por el gov.ar Menos mal no lo abri!!!! MUCHAS GRACIAS!!
hola no ejecute nada pero si abrí las fotos y al no poder verlas las cerré ¿no pasa nada? gracias por la informacion
donde puedo denunciar el envio de estos mails?
yo tambien las abri, pero no descarge nada, porque no salió ningun cartel, simplemente se abrio una ventana en blanco, entonces quedé infectada?
Karina, por mas que lo hayas descargado (o no), si no lo ejecutaste no pasa nada.
Cristian
Hola, una amiga me llamo que le llego el mail y por curiosidad abrio las fotos...
Dice que no le aparecio nada y no sabe si se ejecuto algo.
Saben si el ejecutable modifica el registro ? o si el archivo se guarda en algun directorio especial ?
Hugo,
En una nueva nota explicamos que hace el malware de este correo.
Hola, pido ayuda.
Me llegó el e-mail de foto multa, al correo hotmail, que abrí desde Fire Fox, y, sin pensarlo, hice clic en FOTO 1, pero advertí que no era un archivo *.jpg, sino un archivo *.exe el que se estaba abriendo, entonces cerré la ventana haciendo clic en x, luego eliminé el e-mail, pero todavía está como correo eliminado. Estoy muy preocupado, te consulto para saber si mi PC está infectada, y si se puede saber si el troyano se ejecutó y me robó información. Tengo instalado Panda GP 2011 con licencia, que lo corrí inmediatamente, pero en el análisis no detectó ningún virus. Gracias
Betkap, si no ejecutaste el archivo no pasa nada.
Cristian
Me llegó este mail, la informacion por este medio no tiene validez alguna, muy bueno su aporte.
me llego el mail, lo abrí, como las fotos no las podia visualizar, las descargué y extraje el archivo,eso es EJECUTAR?¿. en caso que lo haya realizado ocmo hago para salvar la PC del virus?¿
Hola Anonimo, sí, eso es ejecutar y en teoría cualquier AV debería eliminarlos.
Cristian
Me resultó muy útil todo el artículo, ya lo elimino directamente, muchas gracias....
Marcelo
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!