"Estamos muy enojados con vos" correos con malware
En las últimas horas nos han denunciado varios correos que contienen el asunto "Estamos muy enojados con vos" y que informa al usuario sobre un supuesto engaño a su pareja y le envía fotos para su descarga. EL correo (errores incluidos) es el siguiente:
Como puede verse, se ofrecen tres enlaces y en todos ellos se aprovecha una vulnerabilidad de redirección abierta en los sitios, para redireccionar al usuario a la descarga del malware:
Este último archivo es un troyano del tipo bancario, se almacena en la carpeta temporal del perfil del administrador y envía la información robada al delincuente mediante dos scripts http://www.blythwildlife[ELIMINADO].co.uk//10k/fddgbvd.php y http://www.blythwildlife[ELIMINADO].co.uk//10k/hhi.php y almacena los logs de infectados en http://www.dysa[ELIMINADO].com/n/sdfkhect.txt y, como se puede ver en la imagen, hasta el momento ha habido 119 descargas del malware.
Una vez más la negligencia de los administradores de los sitios web vulnerados y la ingenuidad de los usuarios son cómplices de los delincuentes y les permiten la propagación de archivos dañinos que roban información.
Actualización 11:30: ya hay 142 descargas del malware.
Actualización 19:00: el archivo wifidriver.exe contiene dos archivos empaquetados llamados hookdll.dll y TIMESY~1.EXE (de 26 MB) y que afecta a clientes de los bancos COMAFI, Standard Bank, Galicia, Patagonia, Santander y Banco Union S.A. (Bolivia) y Hotmail si bien las URL encontradas en el ejecutable pertenecen sólo a los dos primeros:
Por su parte @bernaler también ofrece un detalle de este troyano en su sitio web.
Actualización 29/03: ahora los correos han cambiado el asunto a "Esta ves no te podemos cubrir".
Raúl y Cristian de la Redacción de Segu-Info
Enviado el: miércoles, 28 de marzo de 2012 02:08 a.m.
Asunto: Estamos muy enojados con vos
Hola tengo que decirte una cosa muy importante, ya que soy tu amigo y estoy cansado que estes jugando con tu pareja, ayer te sacaron unas fotos con el celular mientras se estaban besando, si se llega a enterar tu pareja que vas a hacer?
fotos_marzo_1.jpg - Facebooknueva.jpg - Facebook23.jpg (supuestas imagenes adjuntas)
Llamame urgente a mi numero !!!!!
Como puede verse, se ofrecen tres enlaces y en todos ellos se aprovecha una vulnerabilidad de redirección abierta en los sitios, para redireccionar al usuario a la descarga del malware:
- htp://www.exp[ELIMINADO].de/pub/agent.dll?qscr=redr&rurl=http://www.[ELIMINADO]motor.com//FPDF/mail_id_876481723668912983689365987163298176597137519_82937658973649828.php
- http://www.philipmorris[ELIMINADO].com/redirect.ashx?url=http://demo.[ELIMINADO]group.com/kenchan/international/mail_id_876481723668912983689365987163298176597137519_82937658973649828.php
- http://barra[ELIMINADO].mredir.sapo.pt/autoworldghana.com//Scripts/mail_id_876481723668912983689365987163298176597137519_82937658973649828.php
Este último archivo es un troyano del tipo bancario, se almacena en la carpeta temporal del perfil del administrador y envía la información robada al delincuente mediante dos scripts http://www.blythwildlife[ELIMINADO].co.uk//10k/fddgbvd.php y http://www.blythwildlife[ELIMINADO].co.uk//10k/hhi.php y almacena los logs de infectados en http://www.dysa[ELIMINADO].com/n/sdfkhect.txt y, como se puede ver en la imagen, hasta el momento ha habido 119 descargas del malware.
Una vez más la negligencia de los administradores de los sitios web vulnerados y la ingenuidad de los usuarios son cómplices de los delincuentes y les permiten la propagación de archivos dañinos que roban información.
Actualización 11:30: ya hay 142 descargas del malware.
Actualización 19:00: el archivo wifidriver.exe contiene dos archivos empaquetados llamados hookdll.dll y TIMESY~1.EXE (de 26 MB) y que afecta a clientes de los bancos COMAFI, Standard Bank, Galicia, Patagonia, Santander y Banco Union S.A. (Bolivia) y Hotmail si bien las URL encontradas en el ejecutable pertenecen sólo a los dos primeros:
- https://hb.comafi.com.ar/homebank/HBI.do
- https://www.standardbank.com.ar/RetailInstitucionalWeb/home.do
Por su parte @bernaler también ofrece un detalle de este troyano en su sitio web.
Actualización 29/03: ahora los correos han cambiado el asunto a "Esta ves no te podemos cubrir".
Raúl y Cristian de la Redacción de Segu-Info
Entidades bancarias que afecta:
ResponderBorrarPatagonia
Galicia
Comafi
Banco Union
Santander
Standard Bank
También roba usuarios y claves de Hotmail.
Hola Ernesto, Gracias por el aporte y tu análisis.
ResponderBorrarSaludos.
Gracias Raúl y Cristian, agendado para tener en cuenta. Abrazo,
ResponderBorrarMuchas gracias por la informacion !!!
ResponderBorrar