"Estamos muy enojados con vos" correos con malware

En las últimas horas nos han denunciado varios correos que contienen el asunto "Estamos muy enojados con vos" y que informa al usuario sobre un supuesto engaño a su pareja y le envía fotos para su descarga. EL correo (errores incluidos) es el siguiente:

Enviado el: miércoles, 28 de marzo de 2012 02:08 a.m.
Asunto: Estamos muy enojados con vos

Hola tengo que decirte una cosa muy importante, ya que soy tu amigo y estoy cansado que estes jugando con tu pareja, ayer te sacaron unas fotos con el celular mientras se estaban besando, si se llega a enterar tu pareja que vas a hacer?

fotos_marzo_1.jpg - Facebooknueva.jpg - Facebook23.jpg (supuestas imagenes adjuntas)

Llamame urgente a mi numero !!!!!

Como puede verse, se ofrecen tres enlaces y en todos ellos se aprovecha una vulnerabilidad de redirección abierta en los sitios, para redireccionar al usuario a la descarga del malware:

• htp://www.exp[ELIMINADO].de/pub/agent.dll?qscr=redr&rurl=http://www.[ELIMINADO]motor.com//FPDF/mail_id_876481723668912983689365987163298176597137519_82937658973649828.php
• http://www.philipmorris[ELIMINADO].com/redirect.ashx?url=http://demo.[ELIMINADO]group.com/kenchan/international/mail_id_876481723668912983689365987163298176597137519_82937658973649828.php
• http://barra[ELIMINADO].mredir.sapo.pt/autoworldghana.com//Scripts/mail_id_876481723668912983689365987163298176597137519_82937658973649828.php

En los tres casos se descarga un archivo fotos_JPG_.exe con una baja tasa de detección según VirusTotal. Este archivo es un Trojan Downloader que descarga otro malware desde http://www.spax[ELIMINADO].de//usersettings/wifidriver.exe con una tasa aún menor de detección.

Este último archivo es un troyano del tipo bancario, se almacena en la carpeta temporal del perfil del administrador y envía la información robada al delincuente mediante dos scripts http://www.blythwildlife[ELIMINADO].co.uk//10k/fddgbvd.php y http://www.blythwildlife[ELIMINADO].co.uk//10k/hhi.php y almacena los logs de infectados en http://www.dysa[ELIMINADO].com/n/sdfkhect.txt y, como se puede ver en la imagen, hasta el momento ha habido 119 descargas del malware.

Una vez más la negligencia de los administradores de los sitios web vulnerados y la ingenuidad de los usuarios son cómplices de los delincuentes y les permiten la propagación de archivos dañinos que roban información.

Actualización 11:30: ya hay 142 descargas del malware.

Actualización 19:00: el archivo wifidriver.exe contiene dos archivos empaquetados llamados hookdll.dll y TIMESY~1.EXE (de 26 MB) y que afecta a clientes de los bancos COMAFI, Standard Bank, Galicia, Patagonia, Santander y Banco Union S.A. (Bolivia) y Hotmail si bien las URL encontradas en el ejecutable pertenecen sólo a los dos primeros:

• https://hb.comafi.com.ar/homebank/HBI.do
• https://www.standardbank.com.ar/RetailInstitucionalWeb/home.do

En la imagen puede verse un sistema infectado en donde se ingreso al Banco Comafi y el troyano suplantó el sitio web con una imagen del formulario falso.

Por su parte @bernaler también ofrece un detalle de este troyano en su sitio web.

Actualización 29/03: ahora los correos han cambiado el asunto a "Esta ves no te podemos cubrir".

Raúl y Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín