Falso aviso de multas fotográficas descargan malware
Recibimos reportes sobre correos falsos que imitan un aviso sobre multas pendientes e incluyen supuestos enlaces a las foto-multas y se amenaza a los supuestos infractores con enviarlos al Veraz. El mensaje de correo (errores incluidos) es el siguiente:
Los enlaces a las (inexistentes) fotografías, son en realidad URLs que abusan de fallas de redireccionamiento de dos sitios web y redirigen a la víctima a la descarga del archivo malicioso Video_Player_FLash_Avi.exe o también Infraccion_9073462_PDF.exe alojados en otros sitios vulnerados y con antecedentes de alojar malware.
Con esta maniobra los delincuentes intentan y logran superar filtros de correo que evalúan la reputación de los vínculos. Al evaluar solo la primer parte del vínculo y no el resto del enlace, no "ven" nada objetable y los mensajes pasan sin problemas en la mayoría de los sistemas.
Si se analiza la cabecera de los correos se puede ver el origen de los mismos:
Un exámen elemental que puede hacer el receptor de tales mensajes es posar el puntero sobre los hipervínculos, y así verá que los enlaces no tienen relación con ningún sitio de gobierno. Las Foto 1 y 3 conducen a:
http://gsf.[ELIMINADO].it/content/page.html?id_gsf=592737&link=http://www.mueller[ELIMINADO].com/files/Video_Player_FLash_Avi.exe
La Foto 2 conduce a:
http://blog.[ELIMINADO].com/click/?adid=1250&adurl=http://www.tellu[ELIMINADO].com/refrac_v1/Video_Player_FLash_Avi.exe
Otros enlaces utilizados son:
http://www.biz[ELIMINADO].com/rd2?t=http://www.mangall[ELIMINADO].com/css/Infraccion_9073462_PDF.exe
http://uni70.o[ELIMINADO].de/game/redir.php?url=http://www.luz[ELIMINADO].com/css/Infraccion_9073462_PDF.exe
http://www.biz[ELIMINADO].com/rd2?t=http://www.niran[ELIMINADO].com/img/Infraccion_9073462_PDF.exe
Desde Segu-Info hemos procedido a las denuncias correspondientes y a dar aviso a los sitios vulnerados. Uno de esos sitios con vulnerabilidades pertenece a un importante grupo editorial europeo. Al momento ya ha sido desactivada la descarga de uno de los sitios. Los antivirus que lo detectan hasta el momento no son demasiados, lo cual es normal por la reciente aparición del archivo dañino.
Hay que recordar ser precavido y dudar de mensajes que nos crean la urgencia por saber de que se trata, es un claro síntoma de los ataques que usan la "ingeniería social".
¡Gracias J. por el aviso original!
Actualización 11/10: los correos siguen llegando con distintas URL para descargar el malware.
Actualización 12/10: este artículo fue mencionado en el diario Clarin.
Actualización 15/10: En una nueva nota explicamos que hace el malware de este correo.
Raúl de la Redacción de Segu-Info
Date: Mon, 10 Oct 2011 01:28:21 -0400
Subject: Usted posee multas pendientes (asunto 1)
Subject: Infracciones de transito pendientes (asunto 2)
From: [email protected] (dirección falsa 1)
From: [email protected] (dirección falsa 2)
Fecha de emision: 10/10/2011 Buenos Aires, Republica Argentina
Estimado contribuyente:
Detectamos en nuestro Sistema Integrado de Multas de transito (SIMT) varias infracciones cometidas por su vehiculo.
Debido a que usted no se notifico en el tribunal de faltas correspondiente le reenviamos las Foto-multas via internet.
Si usted no regulariza las infracciones correspondientes en los proximos 90 dias a partir de la fecha de emision de este comunicado, su vehiculo sera informado como deudor
y pasara a formar parte del Veraz, conforme Ley n 12.799 de 1/04/2009.
La inclusion de su vehiculo en el Veraz le impedira la venta regular de su vehiculo por 2 años en la Republica Argentina.
Adjuntamos en este informe las infracciones realizadas: FOTO 1 - FOTO 2 - FOTO 3
(Articulo 157, 7º de Afip y articulo 2º y 7º de Resolucion nº 149/03 - ARBA) El propietario del vehiculo queda notificado por este medio.
Todas aquellas actas labradas con anterioridad a las fechas especificadas seguirán bajo la orbita de la Unidad Administrativa de Control de Faltas.
Los enlaces a las (inexistentes) fotografías, son en realidad URLs que abusan de fallas de redireccionamiento de dos sitios web y redirigen a la víctima a la descarga del archivo malicioso Video_Player_FLash_Avi.exe o también Infraccion_9073462_PDF.exe alojados en otros sitios vulnerados y con antecedentes de alojar malware.
Con esta maniobra los delincuentes intentan y logran superar filtros de correo que evalúan la reputación de los vínculos. Al evaluar solo la primer parte del vínculo y no el resto del enlace, no "ven" nada objetable y los mensajes pasan sin problemas en la mayoría de los sistemas.
Si se analiza la cabecera de los correos se puede ver el origen de los mismos:
Return-Path: [email protected][ELIMINADO].netAllí queda claro que los correos proviene de un sitio vulnerado .NET que nada tiene que ver con el gobierno argentino.
From [email protected][ELIMINADO].net Mon Oct 10 08:47:43 2011
Un exámen elemental que puede hacer el receptor de tales mensajes es posar el puntero sobre los hipervínculos, y así verá que los enlaces no tienen relación con ningún sitio de gobierno. Las Foto 1 y 3 conducen a:
http://gsf.[ELIMINADO].it/content/page.html?id_gsf=592737&link=http://www.mueller[ELIMINADO].com/files/Video_Player_FLash_Avi.exe
La Foto 2 conduce a:
http://blog.[ELIMINADO].com/click/?adid=1250&adurl=http://www.tellu[ELIMINADO].com/refrac_v1/Video_Player_FLash_Avi.exe
Otros enlaces utilizados son:
http://www.biz[ELIMINADO].com/rd2?t=http://www.mangall[ELIMINADO].com/css/Infraccion_9073462_PDF.exe
http://uni70.o[ELIMINADO].de/game/redir.php?url=http://www.luz[ELIMINADO].com/css/Infraccion_9073462_PDF.exe
http://www.biz[ELIMINADO].com/rd2?t=http://www.niran[ELIMINADO].com/img/Infraccion_9073462_PDF.exe
Desde Segu-Info hemos procedido a las denuncias correspondientes y a dar aviso a los sitios vulnerados. Uno de esos sitios con vulnerabilidades pertenece a un importante grupo editorial europeo. Al momento ya ha sido desactivada la descarga de uno de los sitios. Los antivirus que lo detectan hasta el momento no son demasiados, lo cual es normal por la reciente aparición del archivo dañino.
Hay que recordar ser precavido y dudar de mensajes que nos crean la urgencia por saber de que se trata, es un claro síntoma de los ataques que usan la "ingeniería social".
¡Gracias J. por el aviso original!
Actualización 11/10: los correos siguen llegando con distintas URL para descargar el malware.
Actualización 12/10: este artículo fue mencionado en el diario Clarin.
Actualización 15/10: En una nueva nota explicamos que hace el malware de este correo.
Raúl de la Redacción de Segu-Info
a mi me acaba de llegar uno asi, gracias por avisar!!
ResponderBorrarHe recibido dos idénticos, y suponía que eran falsos, pero es muy útil esta confirmación. Gracias por la información
ResponderBorrarHoy recibí este mensaje. Por suerte los encontré a ustedes y otros blogs donde informan sobre el mismo.
ResponderBorrarMuy buen servicio comunitario!!
Hola. Y gracias anticipadas. Recibí el correo mencionado, apareció en no deseados. Lo abrí pero no lo hice con las fotos. Qué hago?
ResponderBorrarHola
ResponderBorrarSi no han ejecutado los archivos ejecutables, no sucede nada.
Cristian
OK. Lo elimino YAAAAAAAAAAAAAAA. GRACIAS Cristian
ResponderBorrary si lo ejecute? :(
ResponderBorrarHola
ResponderBorrarSi lo ejecutaste, estas infectado. Busca un antivirus :)
Cristian
tengo antivirus, tengo el avast. pero me llego y debido a las multas que tengo con el coche pense q venian por ese lado. pero nada que ver... nose que hacer. me baje el malware para ver si lo saca. corre riesgo mi pc ? que hago ayudaaaaaaaaaaaaaaa :(
ResponderBorrarGracias!
ResponderBorrarMe llegó a mi también, suerte que desconfié y no lo abrí.
y que puedo hacer? Ya baje el malware bytes para ver si lo detecta, y sino? Q pasa si esta infectada? Me pueden hackear el msn, o algunas cuentas? AYUDA
ResponderBorrarLos antivirus que lo detectan pueden verse en el post.
ResponderBorrarCristian
Cristian mil gracias. una preg mas. si no lo saco, puede pasar algo ?
ResponderBorrargracias cristian puede pasr algo si no lo borro ?
ResponderBorrarMuchas gracias!!! me llego un mail asi y me llamo la atencion! no tengo auto! y pense seria verdad por el gov.ar Menos mal no lo abri!!!! MUCHAS GRACIAS!!
ResponderBorrarhola no ejecute nada pero si abrí las fotos y al no poder verlas las cerré ¿no pasa nada? gracias por la informacion
ResponderBorrardonde puedo denunciar el envio de estos mails?
ResponderBorraryo tambien las abri, pero no descarge nada, porque no salió ningun cartel, simplemente se abrio una ventana en blanco, entonces quedé infectada?
ResponderBorrarKarina, por mas que lo hayas descargado (o no), si no lo ejecutaste no pasa nada.
ResponderBorrarCristian
Hola, una amiga me llamo que le llego el mail y por curiosidad abrio las fotos...
ResponderBorrarDice que no le aparecio nada y no sabe si se ejecuto algo.
Saben si el ejecutable modifica el registro ? o si el archivo se guarda en algun directorio especial ?
Hugo,
ResponderBorrarEn una nueva nota explicamos que hace el malware de este correo.
Hola, pido ayuda.
ResponderBorrarMe llegó el e-mail de foto multa, al correo hotmail, que abrí desde Fire Fox, y, sin pensarlo, hice clic en FOTO 1, pero advertí que no era un archivo *.jpg, sino un archivo *.exe el que se estaba abriendo, entonces cerré la ventana haciendo clic en x, luego eliminé el e-mail, pero todavía está como correo eliminado. Estoy muy preocupado, te consulto para saber si mi PC está infectada, y si se puede saber si el troyano se ejecutó y me robó información. Tengo instalado Panda GP 2011 con licencia, que lo corrí inmediatamente, pero en el análisis no detectó ningún virus. Gracias
Betkap, si no ejecutaste el archivo no pasa nada.
ResponderBorrarCristian
Me llegó este mail, la informacion por este medio no tiene validez alguna, muy bueno su aporte.
ResponderBorrarme llego el mail, lo abrí, como las fotos no las podia visualizar, las descargué y extraje el archivo,eso es EJECUTAR?¿. en caso que lo haya realizado ocmo hago para salvar la PC del virus?¿
ResponderBorrarHola Anonimo, sí, eso es ejecutar y en teoría cualquier AV debería eliminarlos.
ResponderBorrarCristian
Me resultó muy útil todo el artículo, ya lo elimino directamente, muchas gracias....
ResponderBorrarMarcelo
a mi tmb me llego
ResponderBorrarMiercoles 15 de Febrero del 2012, Republica Argentina
Estimado contribuyente:
Detectamos en nuestro Sistema Integrado de Multas de transito (ATM) infracciones cometidas por su vehiculo
Si usted no regulariza las infracciones correspondientes en los proximos 30 dias a partir de la fecha de emision de este comunicado, su vehiculo sera informado como deudor y usted pasara a formar parte del Veraz, conforme Ley n 19.216 de 1/12/2011
La inclusion de su vehiculo en el Veraz le impedira la venta regular de su vehiculo en la Republica Argentina
Infracciones al dia 14/02/2012
Girar a izquierda/derecha en lugar prohibido - No respetar Senda Peatonal/Paso Peaton - Exceso Velocidad hasta 20Km/h
El propietario del vehiculo queda notificado por este medio. Todas aquellas actas labradas con anterioridad a las fechas especificadas seguiran bajo la orbita de la Unidad Administrativa.
mira q yo le di clic a la supuesta imagen y lo que hizo fue guardar un archivo en descargas y ya no lo puedo eliminar, ademas a cada instante aparece una ventana del navegador sin nada como arreglo eso??
ResponderBorrarahora llego a Chile
ResponderBorrarHOLA SOY DE PERU, LIMA, ME ASOMBRE CUANDO LEI ESA CARTA, PERO ENCONTRE ESTE LINK Y MIL GRACIAS ME QUEDO MAS TRANQUILA, UNA NUEVA MODALIDAD DE VIRUS, NO LO EJECUTE, SOLO TRATE DE ABRI LAS FOTOS.
ResponderBorrarMILGRACIASSSS
Hola muchas gracias por aclarar estas dudas soy de chile y no me figuran deudas por patente en el registro de multas y el unico vehiculo que tenia a mi nombre lo vendi hace mas de un año asi que tenia unas dudas gigantes ademas que nunca escuche hablar del veraz????? no figuro tampoco el nombre de ningun municipio al cual debia presentarme es entonces un tipo de estafa o solo virus...???
ResponderBorrarhola Buena noches a todos
ResponderBorrarSoy chileno y esta pasando lo mismo. me han llegado tres correos con las penas del infierno. buscando y buscando por fin encontré esta pagina todo muy bien explicado y por fin voy a dormir tranquilo.
Muchas Gracias.
A mi me llegó ese correo lo abrí y lei lo que decía pero no abrí la imagen , con sólo abrir el correo tienen como acceder a mi informacion ??
ResponderBorrarTambien me llego ,chile 15 de marzo, no abrì los link que sugerìan ,tampoco las fotos.
ResponderBorrar