19 oct 2011

Multas de tránsito (falsas) de Brasil vienen con malware

Los atacantes explotan una vez más el truco de las multas de tránsito. Hace unos minutos recibimos la denuncia sobre correos con avisos con (falsas e inexistentes) multas de tránsito cometidas en Brasil. El engaño es una reedición del Falso aviso de multas fotográficas descargan malware del que notificamos la semana pasada.

El texto del correo engañoso dice así (errores incluidos):
Multa Online

Consta em nosso Sistema Integrado de Estradas e Rodagens (SIER-MG), infrações cometidas
pelo seu veículo, e devido ter ocorrido as devoluções das notificações de infrações, estamos enviando
por e-mail, notificações online, pois as mesmas constam registradas no GRAVAME de seu veiculo.>

Notificações listadas logo abaixo, para visualiza-las basta clicar em cima das mesmas.

Notificação DER-23873372837/2011 <- enlace que descarga malware

Notificação DER-24341152364/2011 <- enlace que descarga malware

Notificação DER-87236342367/2011 <- enlace que descargamlaware

(Artigo 257, § 7º do CTB e artigos 5º e 6º da Resolução nº 149/03 - CONTRAN)
O proprietário do veículo deverá seguir todas as orientações constantes do formulário
existente na notificação de autuação por infração à legislação de trânsito quando não for o responsável pela infração.


Correo falso, los tres enlaces llevan a descargar malware

El enlace engañoso incluido en el correo http://image.[ELIMINADO]s.de//img/multaonline.php como se puede ver incluye en una parte "//" y por eso da error. Probablemente eso sea a propósito para despistar a filtros antispam de reputación. Si la víctima que cayó en el engaño lo corrige, carga el archivo multaonline.php que lo redirige a http://fam[ELIMINADO].com.br/files/multa.exe de donde se realiza la descarga de un malware.

Este último sitio brasilero que aloja el malware ha sido capturado por atacantes de ese país según se puede ver su página inicial que es victima de un deface:
Sitio que aloja le malware en poder de atacantes.

El archivo multa.exe que se descarga, es un Troyano Downloader identificado por 14 antivirus de los 43 que verifica el sitio VirusTotal. Por su parte el troyano bancario es descargado desde http://zona[ELIMINADO].com.br/notificacao.com y también es detectado por pocos antivirus.

El archivo inicial multaonline.php, que lleva a la posterior descarga de malware, está alojado en un sitio alemán que ha sido abusado por delincuentes, gracias a fallas de seguridad que le permitieron ubicar allí el archivo mencionado. Con ello se aprovechan que es un sitio legítimo que tiene buena reputación (por ahora) para evitar el filtrado automático o advertencia en los navegadores al momento de la descarga.

Desde Segu-Info hemos reportado el problema al propietario del sitio abusado.

Le recomendamos como siempre no confiar en los correos inusuales que llegan con enlaces o archivos adjuntos si no los ha solicitado.

¡Gracias F. por el aviso!

Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!