Canal de Telegram

6 mar 2012

Segu-Info » , , , » Phishing de Groupon utiliza vulnerabilidades en Adobe para propagar malware

Phishing de Groupon utiliza vulnerabilidades en Adobe para propagar malware

6 mar 2012, 10:42:00 a.m.   1 comentario
  , , ,  
En el día de hoy nos han reportado un caso de un correo falso que dice provenir de Groupon (y también hace mención de las empresas de telefonía Claro, Personal y Movistar) pero que en realidad busca propagar malware. El correo es el siguiente (errores incluidos):
Asunto: Ganaste el sorteo de marzo

Groupon te comunica que sos el ganador del sorteo de 500 minutos de credito Gratis para tu celular podes utilizarlos durante todo el 2012 a partir de ahora. Felicitaciones.
Como puede verse, se ofrecen tres enlaces al usuario y los mismots conducen a sitios de Expedia y Adobe, en donde se aprovechan vulnerabilidades de redirección abierta para redirigir al usuario a un sitio que aloja malware. Es decir que, a través de los siguientes enlaces que apuntan a sitios "confiables", se logra engañar al usuario (y a los filtros antispam) para que descargue un archivo ejecutable Groupon-Sorteo-PDF.EXE
  • http://www.expedia.de/pub/[ELIMINADO]?qscr=redr&rurl=http://demo.ckent[ELIMINADO].com/rentcar/groupon-com-ar-ganador-sorteo.php
  • http://feeds.adobe.com/[ELIMINADO]?handler=PostHandler&action=click&postId=451459&nextPage=http://www.zwo[ELIMANADO].com/mopokuskis//groupon-com-ar-ganador-sorteo.php
Con respecto al malware, el mismo es un troyano downloader detectado por varios antivirus.

Si bien es lamentable que sitios tan populares aún conserven este tipo de vulnerabilidades de redirección, (hace poco denunciamos vulnerabilidaes similares en NBAWolfram Alpha y Cuevana), es una forma más de advertir al usuario sobre que debe estar alerta ante cualquier correo que no haya solicitado, sobre todo cuando el mismo anuncia importantes premios.

El malware descarga otro troyano del tipo banker que intenta robar credenciales de los bancos argentinos Macro, Standard Bank, ITAU, Patagonia y Santander Rio y del sitio de Hotmail.
  • http://www.cwma [ELIMINADO] .com//images/intranetsystem.exe
  • http://www.msphi [ELIMINADO] com.my/css/intranetsystem.exe
  • http://www.autoworld[ELIMINADO].com//Scripts/intranetsystem.exe
A continuación se puede ver el formulario falso de uno de los bancos afectados. Cuando el usuario ingresa a través de cualquier navegador a su home-banking normalmente, el troyano tomará control del navegador y formulario real será tapado por este otro y el usuario terminará ingresando y enviando sus datos al delincuente.
Actualización 11:20: acaban de reportarnos otro caso en donde se abusa de la misma vulnerabilidad en otros sitios:

  • http://pipl.com/[ELIMINADO]/?U=http://www.havenzone[ELIMINADO].com/products/groupon-com-ar-ganador-sorteo.php
  • http://www.cerener[ELIMINADO].it//test-[ELIMINADO]/groupon-com-ar-ganador-sorteo.php

Actualización 11:30: según los logs del troyano, hasta el momento existen al menos 1.800 infectados.

Actualización 11:40: de acuerdo al análisis del troyano, el mismo fue compilado 4 de marzo a las 23:55 hs de Brasil y el usuario se encontraba en la IP 187.118.5.XXX, un servicio brindado vivozap.com.br. Luego de iniciada la propagación, el primer infectado fue en Argentina a las 13:30 del día de ayer (5 de marzo).

Puedes aprender más de estos casos y sus análisis en nuestro curso de Malware y Cibercrimen.

¡Gracias Patricio y Gustavo por las denuncias!

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

1 comentario:

  1. @Dkavalanche6 de marzo de 2012, 12:15 p.m.

    Hola Cristian,
    El downloader descarga un troyano Bancario que afecta a entidades Argentinas y roba claves de Hotmail.

    MACRO
    ITAU
    STANDARD BANK
    SANTANDER RIO
    PATAGONIA


    Saludos!

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!