500 infectados en 2 horas utilizando acortadores de URL
En el día de hoy nos han reportado un caso de Phishing al Banco ITAU de Brasil con una supuesta actualización del token que todo usuario debe instalar.
El correo es el siguiente:
Como puede verse, los enlaces conducen al acortador de URL Bit.ly, de modo tal que este sitio es utilizado para ocultar el verdadero destino del enlace que es una dirección IP, donde se aloja un archivo dañino: http://[ELIMINADO].46.35.138/Images/Dispositivo_2011.asp. Desde allí se descarga el archivo Dispositivo_2011.exe que es un troyano bancario.
Lo interesante es que en menos de dos horas desde que los delincuentes lanzaron los correos falsos, han logrado la interesante cantidad de 500 descargas del malware, tal y como se puede apreciar en los detalles de la URL acortada:
También es interesante ver la cantidad de veces que ha publicado sus enlaces y la cantidad de descargas que ha logrado en cada ocasión. Al sumar las cantidades sin duda se obtienen resultados muy interesantes:
Es importante recordar que los delincuentes utilizan los acortadores como herramienta pero nosotros también podemos hacerlo y en el caso de Bit.ly se puede verificar la URL y colocar el signo "+" luego de ella para conocer el destino real de la redirección. Por ejemplo: http://bit.ly/seguinfo+
En el caso de que no se trate de Bit.ly, otra forma de verificar las URL cortas es utilizar servicios como LongURL (que también tiene una extensión para Firefox), ExpandURL, KnowURL o AvoidURL. Este último además permite escanear el sitio enlazado con varios antivirus.
Cristian de la Redacción de Segu-Info
El correo es el siguiente:
Como puede verse, los enlaces conducen al acortador de URL Bit.ly, de modo tal que este sitio es utilizado para ocultar el verdadero destino del enlace que es una dirección IP, donde se aloja un archivo dañino: http://[ELIMINADO].46.35.138/Images/Dispositivo_2011.asp. Desde allí se descarga el archivo Dispositivo_2011.exe que es un troyano bancario.
Lo interesante es que en menos de dos horas desde que los delincuentes lanzaron los correos falsos, han logrado la interesante cantidad de 500 descargas del malware, tal y como se puede apreciar en los detalles de la URL acortada:
En el caso de que no se trate de Bit.ly, otra forma de verificar las URL cortas es utilizar servicios como LongURL (que también tiene una extensión para Firefox), ExpandURL, KnowURL o AvoidURL. Este último además permite escanear el sitio enlazado con varios antivirus.
Cristian de la Redacción de Segu-Info
No necesariamente los que hayan descargado el archivo lo han ejecutado no creen?
ResponderBorrarHola JoseGustavo,
ResponderBorrarPor supuesto que no y así lo dejo explicado aquí y aquí en otros casos.
Si bien es cierto q no todos ejecutarán el archivo, una gran cantidad lo harán porque ya cayeron en la trampa.
Cristian