6 may 2011

Troyano se propaga usando cuentas de Windows Live/Hotmail y abusa de Dropbox.com

Recibimos una denuncia sobre correos que proceden de cuentas legítimas de Windows Live/Hotmail. El texto del mensaje, en portugués, es breve y dice:
Asunto: {nombre apellido}:{hora y nro de serie}
Estou te passando, mas nao mostre a ninguem
por favor. Vai zipado com senha viu!!
Senha do Zip: 102030
..
Baixar Zip 212 KB <--enlace a http://dl.dropbox.com/[edit]/Visualizar.zip?....
[edit].ar:00:03:26:6830051160[edit]361
Una captura del correo se ve así:

Como se puede ver en la captura, algo interesante de este caso, es que el enlace apunta a Dropbox.com, servicio gratuito para guardar y compartir archivos. Allí los delincuentes han alojado el troyano con el nombre Visualizar.zip.

Al utilizar un enlace de dropbox.com, el delincuente logra eludir el filtrado del correo por la reputación del enlace. También lo consiguen cuando usan acortadores reconocidos como bit.ly o tinyurl.

El malware en cuestión es detectado, al menos por Kaspersky, como Trojan.Win32.VBKrypt y una vez infectada la PC, cada vez que el usuario se conecta al webmail de Windows Live/Hotmail, envía a los contactos de esa cuenta de correo, un mensaje como el descripto, sin que lo note el usuario de la PC.

Por los reportes recibidos, muchas personas caen en el engaño al ver que el correo procede de alguien conocido. Se propaga como se puede ver entre contactos de gente conocida.

Cabe aclarar que hasta el momento no tenemos conocimiento que se esté explotando ningún vulnerabilidad de Hotmail o Windows Live, sencillamente se las han ingeniado los delincuentes para detectar la conexión a Hotmail y abusar de eso haciendo los envios maliciosos sin que lo advierta el dueño de la cuenta.

Desde Segu-Info ya hemos reportado el problema a Dropbox.com, y en menos de una hora nos confirmaron la baja del archivo y el usuario:
Kevin - Dropbox Support, May-06 01:46 pm (PDT):
This user has been banned for Terms of Service violation.
Thanks for bring this to our attention.
Best,
Kevin
Para evitar este tipo de problemas, basta con tener en cuenta estos simples consejos:
• Ante un correo de asunto poco usual no lo abra.
• Si el correo es de un desconocido, no lo abra. 
• Si el correo viene con adjuntos o enlaces no solicitados ni esperados, no los abra aún si viene de alguien conocido.
• Si el correo vienen en un idioma distinto al usual, no lo abra.
• Si siente curiosidad para ver de qué se trata, resista y se evitará un problema.

Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!