Phishing desde sitios gubernamentales colombianos y mexicanos
Hoy recibimos notificación de un correo tipo Phishing del Banco Votorantim de Brasil, pero que en lugar de remitir a un sitio falso para el robo de datos, engaña al usuario para la descarga de un troyano con el pretexto de un supuesto comprobante de depósito.
El correo dice así (errores incluidos):
El enlace malicioso en el correo http://[ELIMINADO]rpa.gob.mx/financeiro.html?id=http://www.bvfinanciera.com.br/anexo/sistema/34975983258953893245
lleva a un sitio gubernamental mexicano que ha sido comprometido por los delincuentes.
Aquí aparece la página del sitio gubernamental mexicano que simula ser la descarga del comprobante de depósito mencionado en el correo.
El vínculo de la descarga http://www1.a[ELIMINADO].gov.co/financeirobv.exe remite a un sitio gubernamental colombiano que aloja el troyano en cuestión. El archivo financeirobv.exe es un troyano que al momento de escribir esta nota solo detectan 2 motores antivirus en el sitio Virustotal.
Origen del correo
Usualmente este tipo de correo suelen provenir desde equipos infectados, zombies parte de una botnet. Pero en este caso nos encontramos con la particularidad que proviene del servidor de correo de una organización brasilera educativa. Ello se podría explicar por un abuso del servicio de correo, lo cual de cierta forma ya se comprueba el ver que el remitente no corresponde al dominio de la institución en cuestión. Apropiadamente configurado el servidor, no debería permitir esto.
Como es costumbre desde Segu-Info hemos notificado a los sitios gubernamentales mexicano y colombiano sobre el abuso de sus sitios al igual que al responsable del servidor de correo brasilero abusado.
Raúl de la Redacción de Segu-Info
El correo dice así (errores incluidos):
copy_118255371.doc (564kb) <- (vínculo malicioso)La captura del correo falso se ve así:
________________________________________
Segue em anexo o comprovante de depósito em conta corrente do ressarcimento do contrato n° 118255371.
Pedimos que confira seus dados e extrato e verifique se todas as informações e valores estão corretos.
________________________________________
Atenciosamente,
Departamento Financeiro
Banco Votorantim S/A
www.bvfinanceira.com.br
Av. Brigadeiro Faria Lima, 1948 - São Paulo - SP
(11) 3345-9988 /3345-7766
El enlace malicioso en el correo http://[ELIMINADO]rpa.gob.mx/financeiro.html?id=http://www.bvfinanciera.com.br/anexo/sistema/34975983258953893245
lleva a un sitio gubernamental mexicano que ha sido comprometido por los delincuentes.
Aquí aparece la página del sitio gubernamental mexicano que simula ser la descarga del comprobante de depósito mencionado en el correo.
El vínculo de la descarga http://www1.a[ELIMINADO].gov.co/financeirobv.exe remite a un sitio gubernamental colombiano que aloja el troyano en cuestión. El archivo financeirobv.exe es un troyano que al momento de escribir esta nota solo detectan 2 motores antivirus en el sitio Virustotal.
Origen del correo
Usualmente este tipo de correo suelen provenir desde equipos infectados, zombies parte de una botnet. Pero en este caso nos encontramos con la particularidad que proviene del servidor de correo de una organización brasilera educativa. Ello se podría explicar por un abuso del servicio de correo, lo cual de cierta forma ya se comprueba el ver que el remitente no corresponde al dominio de la institución en cuestión. Apropiadamente configurado el servidor, no debería permitir esto.
Como es costumbre desde Segu-Info hemos notificado a los sitios gubernamentales mexicano y colombiano sobre el abuso de sus sitios al igual que al responsable del servidor de correo brasilero abusado.
Raúl de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!