19 jul. 2011

Correos falsos de AFIP traen malware

Recibimos un reporte sobre algunos correos sospechosos que pretenden provenir de la Administración Federal de Ingresos Públicos (Argentina), AFIP. Quien lo reporta consultó al organismo, el cual le informa que no han enviado esos correos.

Este correo dice (errores incluidos):
De: Administracion Federal de Ingresos Publicos <[email protected]>
Asunto: Segundo aviso

La Administracion Federal de Ingresos Publicos se ha percatado
que en diversos despachos alrededor del Pas, han
propuesto esquemas para evadir el pago de impuestos
y hemos detectado anomalas en su situacin fiscal.
Para evitar una sancin en su contra que puede ser
desde una multa hasta aos de prisin le recomendamos
seguir nuestro manual de recomendaciones.
Ver indicaciones. <-- enlace malicioso
Y luce como se ve en la captura siguiente:

El enlace (malicioso) a las pretendidas indicaciones del correo, http://transpor[ELIMINADO].cl/pdf/Manuales/ManualSII.pdf lleva a la descarga de Manual.exe, un archivo que por ahora solo es sospechoso ya que luego de reportado en VT solo lo detecta 1 de 42 antivirus. Además también se puede ver el análisis de Anubis sobre las acciones que realiza el archivo en el sistema.

Sin embargo el sitio fue bloqueado por el antivirus al intentar visitar el vínculo en una prueba de laboratorio:
Luego de descargarlo el archivo se ve así en el explorador de Windows:
Donde observamos el ícono conocido para documentos PDF. Aunque en este caso es un ejecutable y es malware!

El correo provino de un servidor legítimo y logró ingresar aún contando la organización que lo reporta con un reconocido sistema de protección antispam / antimalware de correo. Esta "falla" de filtrado se debe a varios motivos:
a) el servidor de correo es legítimo y aun no está, salvo en una, listas negra.
b) el texto del correo es normal y no supone nada que active filtros
c) el enlace contenido en el correo es de un sitio web legítimo que no tiene mala reputación, por ahora, sitio que fue abusado.

Por esto es que aun con los mejores controles técnicos en una organización, o para el usuario hogareño, la necesidad es de mantener informados a los usuarios y aconsejarles prácticas seguras como en este caso sospechar de los enlaces y no seguirlos sin revisar y validar antes.

¡Gracias Pablo S. por reportarlo!

Actualización 15:00: AFIP acaba de publicar un comunidado sobre la falsedad de los correos.

Actualización 21/07: los delincuentes han modificado el archivo ejecutable y en este momento no lo detecta ningún antivirus.

Raúl de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!