10 oct 2011

Falso aviso de multas fotográficas descargan malware

Recibimos reportes sobre correos falsos que imitan un aviso sobre multas pendientes e incluyen supuestos enlaces a las foto-multas y se amenaza a los supuestos infractores con enviarlos al Veraz. El mensaje de correo (errores incluidos) es el siguiente:
Date: Mon, 10 Oct 2011 01:28:21 -0400
Subject: Usted posee multas pendientes (asunto 1)
Subject: Infracciones de transito pendientes (asunto 2)
From: [email protected] (dirección falsa 1)
From: [email protected] (dirección falsa 2)

Fecha de emision: 10/10/2011 Buenos Aires, Republica Argentina

Estimado contribuyente:
Detectamos en nuestro Sistema Integrado de Multas de transito (SIMT) varias infracciones cometidas por su vehiculo.
Debido a que usted no se notifico en el tribunal de faltas correspondiente le reenviamos las Foto-multas via internet.
Si usted no regulariza las infracciones correspondientes en los proximos 90 dias a partir de la fecha de emision de este comunicado, su vehiculo sera informado como deudor
y pasara a formar parte del Veraz, conforme Ley n 12.799 de 1/04/2009.
La inclusion de su vehiculo en el Veraz le impedira la venta regular de su vehiculo por 2 años en la Republica Argentina.

Adjuntamos en este informe las infracciones realizadas: FOTO 1 - FOTO 2 - FOTO 3

(Articulo 157, 7º de Afip y articulo 2º y 7º de Resolucion nº 149/03 - ARBA) El propietario del vehiculo queda notificado por este medio.
Todas aquellas actas labradas con anterioridad a las fechas especificadas seguirán bajo la orbita de la Unidad Administrativa de Control de Faltas.

Los enlaces a las (inexistentes) fotografías, son en realidad URLs que abusan de fallas de redireccionamiento de dos sitios web y redirigen a la víctima a la descarga del archivo malicioso Video_Player_FLash_Avi.exe o también Infraccion_9073462_PDF.exe alojados en otros sitios vulnerados y con antecedentes de alojar malware.

Con esta maniobra los delincuentes intentan y logran superar filtros de correo que evalúan  la reputación de los vínculos. Al evaluar solo la primer parte del vínculo y no el resto del enlace, no "ven" nada objetable y los mensajes pasan sin problemas en la mayoría de los sistemas.

Si se analiza la cabecera de los correos se puede ver el origen de los mismos:
Return-Path: [email protected][ELIMINADO].net
From [email protected][ELIMINADO].net Mon Oct 10 08:47:43 2011
Allí queda claro que los correos proviene de un sitio vulnerado .NET que nada tiene que ver con el gobierno argentino.

Un exámen elemental que puede hacer el receptor de tales mensajes es posar el puntero sobre los hipervínculos, y así verá que los enlaces no tienen relación con ningún sitio de gobierno. Las Foto 1 y 3 conducen a:
http://gsf.[ELIMINADO].it/content/page.html?id_gsf=592737&link=http://www.mueller[ELIMINADO].com/files/Video_Player_FLash_Avi.exe
La Foto 2 conduce a:
http://blog.[ELIMINADO].com/click/?adid=1250&adurl=http://www.tellu[ELIMINADO].com/refrac_v1/Video_Player_FLash_Avi.exe

Otros enlaces utilizados son:
http://www.biz[ELIMINADO].com/rd2?t=http://www.mangall[ELIMINADO].com/css/Infraccion_9073462_PDF.exe
http://uni70.o[ELIMINADO].de/game/redir.php?url=http://www.luz
[ELIMINADO].com/css/Infraccion_9073462_PDF.exe
http://www.biz[ELIMINADO].com/rd2?t=http://www.niran[ELIMINADO].com/img/Infraccion_9073462_PDF.exe


Desde Segu-Info hemos procedido a las denuncias correspondientes y a dar aviso a los sitios vulnerados. Uno de esos sitios con vulnerabilidades pertenece a un importante grupo editorial europeo. Al momento ya ha sido desactivada la descarga de uno de los sitios. Los antivirus que lo detectan hasta el momento no son demasiados, lo cual es normal por la reciente aparición del archivo dañino.

Hay que recordar ser precavido y dudar de mensajes que nos crean la urgencia por saber de que se trata, es un claro síntoma de los ataques que usan la "ingeniería social".

¡Gracias J. por el aviso original!

Actualización 11/10: los correos siguen llegando con distintas URL para descargar el malware.

Actualización 12/10: este artículo fue mencionado en el diario Clarin.

Actualización 15/10: En una nueva nota explicamos que hace el malware de este correo.

Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

35 comentarios:

  1. a mi me acaba de llegar uno asi, gracias por avisar!!

    ResponderBorrar
  2. He recibido dos idénticos, y suponía que eran falsos, pero es muy útil esta confirmación. Gracias por la información

    ResponderBorrar
  3. Hoy recibí este mensaje. Por suerte los encontré a ustedes y otros blogs donde informan sobre el mismo.
    Muy buen servicio comunitario!!

    ResponderBorrar
  4. Hola. Y gracias anticipadas. Recibí el correo mencionado, apareció en no deseados. Lo abrí pero no lo hice con las fotos. Qué hago?

    ResponderBorrar
  5. Hola
    Si no han ejecutado los archivos ejecutables, no sucede nada.

    Cristian

    ResponderBorrar
  6. OK. Lo elimino YAAAAAAAAAAAAAAA. GRACIAS Cristian

    ResponderBorrar
  7. Hola
    Si lo ejecutaste, estas infectado. Busca un antivirus :)

    Cristian

    ResponderBorrar
  8. tengo antivirus, tengo el avast. pero me llego y debido a las multas que tengo con el coche pense q venian por ese lado. pero nada que ver... nose que hacer. me baje el malware para ver si lo saca. corre riesgo mi pc ? que hago ayudaaaaaaaaaaaaaaa :(

    ResponderBorrar
  9. Gracias!
    Me llegó a mi también, suerte que desconfié y no lo abrí.

    ResponderBorrar
  10. y que puedo hacer? Ya baje el malware bytes para ver si lo detecta, y sino? Q pasa si esta infectada? Me pueden hackear el msn, o algunas cuentas? AYUDA

    ResponderBorrar
  11. Los antivirus que lo detectan pueden verse en el post.

    Cristian

    ResponderBorrar
  12. Cristian mil gracias. una preg mas. si no lo saco, puede pasar algo ?

    ResponderBorrar
  13. gracias cristian puede pasr algo si no lo borro ?

    ResponderBorrar
  14. Muchas gracias!!! me llego un mail asi y me llamo la atencion! no tengo auto! y pense seria verdad por el gov.ar Menos mal no lo abri!!!! MUCHAS GRACIAS!!

    ResponderBorrar
  15. hola no ejecute nada pero si abrí las fotos y al no poder verlas las cerré ¿no pasa nada? gracias por la informacion

    ResponderBorrar
  16. donde puedo denunciar el envio de estos mails?

    ResponderBorrar
  17. yo tambien las abri, pero no descarge nada, porque no salió ningun cartel, simplemente se abrio una ventana en blanco, entonces quedé infectada?

    ResponderBorrar
  18. Karina, por mas que lo hayas descargado (o no), si no lo ejecutaste no pasa nada.

    Cristian

    ResponderBorrar
  19. Hola, una amiga me llamo que le llego el mail y por curiosidad abrio las fotos...
    Dice que no le aparecio nada y no sabe si se ejecuto algo.
    Saben si el ejecutable modifica el registro ? o si el archivo se guarda en algun directorio especial ?

    ResponderBorrar
  20. Hola, pido ayuda.
    Me llegó el e-mail de foto multa, al correo hotmail, que abrí desde Fire Fox, y, sin pensarlo, hice clic en FOTO 1, pero advertí que no era un archivo *.jpg, sino un archivo *.exe el que se estaba abriendo, entonces cerré la ventana haciendo clic en x, luego eliminé el e-mail, pero todavía está como correo eliminado. Estoy muy preocupado, te consulto para saber si mi PC está infectada, y si se puede saber si el troyano se ejecutó y me robó información. Tengo instalado Panda GP 2011 con licencia, que lo corrí inmediatamente, pero en el análisis no detectó ningún virus. Gracias

    ResponderBorrar
  21. Betkap, si no ejecutaste el archivo no pasa nada.

    Cristian

    ResponderBorrar
  22. Me llegó este mail, la informacion por este medio no tiene validez alguna, muy bueno su aporte.

    ResponderBorrar
  23. me llego el mail, lo abrí, como las fotos no las podia visualizar, las descargué y extraje el archivo,eso es EJECUTAR?¿. en caso que lo haya realizado ocmo hago para salvar la PC del virus?¿

    ResponderBorrar
  24. Hola Anonimo, sí, eso es ejecutar y en teoría cualquier AV debería eliminarlos.

    Cristian

    ResponderBorrar
  25. Me resultó muy útil todo el artículo, ya lo elimino directamente, muchas gracias....
    Marcelo

    ResponderBorrar
  26. a mi tmb me llego
    Miercoles 15 de Febrero del 2012, Republica Argentina

    Estimado contribuyente:

    Detectamos en nuestro Sistema Integrado de Multas de transito (ATM) infracciones cometidas por su vehiculo

    Si usted no regulariza las infracciones correspondientes en los proximos 30 dias a partir de la fecha de emision de este comunicado, su vehiculo sera informado como deudor y usted pasara a formar parte del Veraz, conforme Ley n 19.216 de 1/12/2011

    La inclusion de su vehiculo en el Veraz le impedira la venta regular de su vehiculo en la Republica Argentina

    Infracciones al dia 14/02/2012

    Girar a izquierda/derecha en lugar prohibido - No respetar Senda Peatonal/Paso Peaton - Exceso Velocidad hasta 20Km/h

    El propietario del vehiculo queda notificado por este medio. Todas aquellas actas labradas con anterioridad a las fechas especificadas seguiran bajo la orbita de la Unidad Administrativa.

    ResponderBorrar
  27. mira q yo le di clic a la supuesta imagen y lo que hizo fue guardar un archivo en descargas y ya no lo puedo eliminar, ademas a cada instante aparece una ventana del navegador sin nada como arreglo eso??

    ResponderBorrar
  28. HOLA SOY DE PERU, LIMA, ME ASOMBRE CUANDO LEI ESA CARTA, PERO ENCONTRE ESTE LINK Y MIL GRACIAS ME QUEDO MAS TRANQUILA, UNA NUEVA MODALIDAD DE VIRUS, NO LO EJECUTE, SOLO TRATE DE ABRI LAS FOTOS.
    MILGRACIASSSS

    ResponderBorrar
  29. Hola muchas gracias por aclarar estas dudas soy de chile y no me figuran deudas por patente en el registro de multas y el unico vehiculo que tenia a mi nombre lo vendi hace mas de un año asi que tenia unas dudas gigantes ademas que nunca escuche hablar del veraz????? no figuro tampoco el nombre de ningun municipio al cual debia presentarme es entonces un tipo de estafa o solo virus...???

    ResponderBorrar
  30. hola Buena noches a todos
    Soy chileno y esta pasando lo mismo. me han llegado tres correos con las penas del infierno. buscando y buscando por fin encontré esta pagina todo muy bien explicado y por fin voy a dormir tranquilo.
    Muchas Gracias.

    ResponderBorrar
  31. A mi me llegó ese correo lo abrí y lei lo que decía pero no abrí la imagen , con sólo abrir el correo tienen como acceder a mi informacion ??

    ResponderBorrar
  32. Tambien me llego ,chile 15 de marzo, no abrì los link que sugerìan ,tampoco las fotos.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!