La verdad de Miguel y Cogote, propaga malware bancario
Nos acaban de denunciar un nuevo correo que bajo la excusa de revelar la "toda la verdad sobre el video de Miguel y Cogote", propaga archivos dañinos. El correo es el siguiente (errores incluidos):
Con respecto a las imágenes que se ven en el correo, las mismas han sido subidas a Blogger y a un servidor vulnerado en Chile (http://www.[ELIMINADO]estecnologicos.cl/Images/video.gif).
Como puede verse en la imagen, la noticia hace referencia al video y se enlaza a dos posibles dominios:
http://www.[ELIMINADO]randmore.com/blog/fotos.php
http://www.[ELIMINADO]ture-electrique.fr/video/fotos.php
Estos scripts PHP descargan un troyano con el nombre "foto.exe" (informe de Virustotal) empaquetado con ASPack y responsable de enviar información a un Centro de Comando y Control (C&C) alojado en otro servidor en Brasil:
http://linhadefensiva.3util[ELIMINADO].com/ssl/ y hasta el momento tiene una veintena de infectados.
Revisando el ejecutable puede apreciarse que el mismo está orientado a robar información cuando el usuario ingresa a los siguientes bancos argentinos: Santander Río, Patagonia, Macro, Standard Bank, así como a Hotmail y Live.
Actualización 15:00: luego de nuestra denuncia el dominio al cual reportaba el malware, ha sido dado de baja.
Cristian de la Redacción de Segu-Info
Si bien el correo dice provenir de "video@taringa.net" en realidad se trata de una modificación de la cabecera del email y, verificando la misma, se puede constatar que el correo proviene del servidor SMTP de una entidad gubernamental argentina (.gov.ar - IP XXX.5.125.229) con la cual, desde Segu-Info ya nos hemos puesto en contacto.Lo nuevo de Miguel y Cogote
El video que revoluciona Internet y hace furor en todas las redes sociales,
ahora nos llega el nuevo video -Amor en enero del 2012- donde cogote intenta escaparse de la .........
Con respecto a las imágenes que se ven en el correo, las mismas han sido subidas a Blogger y a un servidor vulnerado en Chile (http://www.[ELIMINADO]estecnologicos.cl/Images/video.gif).
Como puede verse en la imagen, la noticia hace referencia al video y se enlaza a dos posibles dominios:
http://www.[ELIMINADO]randmore.com/blog/fotos.php
http://www.[ELIMINADO]ture-electrique.fr/video/fotos.php
Estos scripts PHP descargan un troyano con el nombre "foto.exe" (informe de Virustotal) empaquetado con ASPack y responsable de enviar información a un Centro de Comando y Control (C&C) alojado en otro servidor en Brasil:
http://linhadefensiva.3util[ELIMINADO].com/ssl/ y hasta el momento tiene una veintena de infectados.
Revisando el ejecutable puede apreciarse que el mismo está orientado a robar información cuando el usuario ingresa a los siguientes bancos argentinos: Santander Río, Patagonia, Macro, Standard Bank, así como a Hotmail y Live.
Actualización 15:00: luego de nuestra denuncia el dominio al cual reportaba el malware, ha sido dado de baja.
Cristian de la Redacción de Segu-Info
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
-
Posts Relacionados:
OK, muy bien por el trabajo, felicitaciones al equipo de segu-info.
Pero cual es la verdad del video de Miguel y Cogote?
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!