Más malware simulando AFIP
En el día de hoy varios usuarios nos han reportado un nuevo caso de malware propagándose a través de correos falsos de AFIP (Administración Federal de Ingresos Públicos y luego de doce horas de actividad el malware sigue activo en el sitio vulnerado. AFIP evidentemente tampoco ha hecho nada para evitar la propagación del malware y proteger a sus usuarios: si les interesara, enviar un correo de aviso al servidor afectado no cuesta más de 30 segundos.
El malware se propaga por correo electrónico y hacen referencia a una normativa para evitar caer en infracciones. En dicho correo se invita a descargar un archivo PDF ubicado en un servidor vulnerado http://cen[ELIMINADO].com/PDF/Manuales_AFIP/Manual.pdf.
En realidad si se intenta descargar el archivo, se observa lo siguiente:
Como puede verse en la primera línea se intenta descargar el archivo PDF desde el servidor pero se devuelve un error 302 de redirección permanente, lo cual indica que en realidad se va a descargar otro archivo que puede verse abajo es Manual.exe. Al interpretar este comportamiento es fácil determinar que si el usuario hace clic sobre el enlace del PDF, en realidad se descargará el archivo ejecutable (.EXE) que aparece debajo y que efectivamente se trata de un malware que hasta el momento detectan pocos antivirus.
Es importante destacar que no es un phishing cómun donde se muestra un texto pero se enlaza a una URL distinta. En este caso, en el correo aparece enlazado el archivo PDF pero a través de la redirección 302, el archivo descargado es el EXE.
Esta es la tercera vez en el año que se utiliza esta metodología con correos de AFIP que descargan archivos ejecutables simulando ser manuales de la entidad gubernamental, pero en este caso se agregó este comportamiento muy poco común de la redirección 302, lo cual indica que el delincuente ha tenido la posibilidad de modificar ciertos archivos de configuración de servidor Apache del sitio vulnerado.
Cristian de la Redacción de Segu-Info
El malware se propaga por correo electrónico y hacen referencia a una normativa para evitar caer en infracciones. En dicho correo se invita a descargar un archivo PDF ubicado en un servidor vulnerado http://cen[ELIMINADO].com/PDF/Manuales_AFIP/Manual.pdf.
En realidad si se intenta descargar el archivo, se observa lo siguiente:
Es importante destacar que no es un phishing cómun donde se muestra un texto pero se enlaza a una URL distinta. En este caso, en el correo aparece enlazado el archivo PDF pero a través de la redirección 302, el archivo descargado es el EXE.
Esta es la tercera vez en el año que se utiliza esta metodología con correos de AFIP que descargan archivos ejecutables simulando ser manuales de la entidad gubernamental, pero en este caso se agregó este comportamiento muy poco común de la redirección 302, lo cual indica que el delincuente ha tenido la posibilidad de modificar ciertos archivos de configuración de servidor Apache del sitio vulnerado.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!