Phishing de Groupon utiliza vulnerabilidades en Adobe para propagar malware
En el día de hoy nos han reportado un caso de un correo falso que dice provenir de Groupon (y también hace mención de las empresas de telefonía Claro, Personal y Movistar) pero que en realidad busca propagar malware. El correo es el siguiente (errores incluidos):
Si bien es lamentable que sitios tan populares aún conserven este tipo de vulnerabilidades de redirección, (hace poco denunciamos vulnerabilidaes similares en NBA, Wolfram Alpha y Cuevana), es una forma más de advertir al usuario sobre que debe estar alerta ante cualquier correo que no haya solicitado, sobre todo cuando el mismo anuncia importantes premios.
El malware descarga otro troyano del tipo banker que intenta robar credenciales de los bancos argentinos Macro, Standard Bank, ITAU, Patagonia y Santander Rio y del sitio de Hotmail.
Actualización 11:20: acaban de reportarnos otro caso en donde se abusa de la misma vulnerabilidad en otros sitios:
Actualización 11:30: según los logs del troyano, hasta el momento existen al menos 1.800 infectados.
Actualización 11:40: de acuerdo al análisis del troyano, el mismo fue compilado 4 de marzo a las 23:55 hs de Brasil y el usuario se encontraba en la IP 187.118.5.XXX, un servicio brindado vivozap.com.br. Luego de iniciada la propagación, el primer infectado fue en Argentina a las 13:30 del día de ayer (5 de marzo).
Puedes aprender más de estos casos y sus análisis en nuestro curso de Malware y Cibercrimen.
¡Gracias Patricio y Gustavo por las denuncias!
Cristian de la Redacción de Segu-Info
Asunto: Ganaste el sorteo de marzoComo puede verse, se ofrecen tres enlaces al usuario y los mismots conducen a sitios de Expedia y Adobe, en donde se aprovechan vulnerabilidades de redirección abierta para redirigir al usuario a un sitio que aloja malware. Es decir que, a través de los siguientes enlaces que apuntan a sitios "confiables", se logra engañar al usuario (y a los filtros antispam) para que descargue un archivo ejecutable Groupon-Sorteo-PDF.EXE
Groupon te comunica que sos el ganador del sorteo de 500 minutos de credito Gratis para tu celular podes utilizarlos durante todo el 2012 a partir de ahora. Felicitaciones.
- http://www.expedia.de/pub/[ELIMINADO]?qscr=redr&rurl=http://demo.ckent[ELIMINADO].com/rentcar/groupon-com-ar-ganador-sorteo.php
- http://feeds.adobe.com/[ELIMINADO]?handler=PostHandler&action=click&postId=451459&nextPage=http://www.zwo[ELIMANADO].com/mopokuskis//groupon-com-ar-ganador-sorteo.php
Si bien es lamentable que sitios tan populares aún conserven este tipo de vulnerabilidades de redirección, (hace poco denunciamos vulnerabilidaes similares en NBA, Wolfram Alpha y Cuevana), es una forma más de advertir al usuario sobre que debe estar alerta ante cualquier correo que no haya solicitado, sobre todo cuando el mismo anuncia importantes premios.
El malware descarga otro troyano del tipo banker que intenta robar credenciales de los bancos argentinos Macro, Standard Bank, ITAU, Patagonia y Santander Rio y del sitio de Hotmail.
- http://www.cwma [ELIMINADO] .com//images/intranetsystem.exe
- http://www.msphi [ELIMINADO] com.my/css/intranetsystem.exe
- http://www.autoworld[ELIMINADO].com//Scripts/intranetsystem.exe
Actualización 11:20: acaban de reportarnos otro caso en donde se abusa de la misma vulnerabilidad en otros sitios:
- http://pipl.com/[ELIMINADO]/?U=http://www.havenzone[ELIMINADO].com/products/groupon-com-ar-ganador-sorteo.php
- http://www.cerener[ELIMINADO].it//test-[ELIMINADO]/groupon-com-ar-ganador-sorteo.php
Actualización 11:30: según los logs del troyano, hasta el momento existen al menos 1.800 infectados.
Actualización 11:40: de acuerdo al análisis del troyano, el mismo fue compilado 4 de marzo a las 23:55 hs de Brasil y el usuario se encontraba en la IP 187.118.5.XXX, un servicio brindado vivozap.com.br. Luego de iniciada la propagación, el primer infectado fue en Argentina a las 13:30 del día de ayer (5 de marzo).
Puedes aprender más de estos casos y sus análisis en nuestro curso de Malware y Cibercrimen.
¡Gracias Patricio y Gustavo por las denuncias!
Cristian de la Redacción de Segu-Info
Hola Cristian,
ResponderBorrarEl downloader descarga un troyano Bancario que afecta a entidades Argentinas y roba claves de Hotmail.
MACRO
ITAU
STANDARD BANK
SANTANDER RIO
PATAGONIA
Saludos!