22 oct. 2011

Participa de Gran Hermano 2012 e ingresa (infectado) a la casa

Nos han denunciado varios casos de correos fraudulentos que dicen venir de TELEFE y promocionan una forma para participar e inscribirse en el csating del nuevo reality show Gran Hermano 2012 organizado por ese canal de televisión y permitiría ganar iPads y iPhones.

El correo dice lo siguiente (errores incluidos):
Asunto: Gran Hermano 2012 tu oportunidad de ingresar a la casa

Si tenes entre 14 y 75 anos y queres convertirte en uno de los participantes de Gran Hermano 2012, completa el formulario!

(Participas por 100 ipads y 500 iphones solo completa el formulario para el casting de Gran Hermano 2012).

¡Esta es la oportunidad que estabas esperando! <-- Enlace dañino
A continuación se puede ver la imagen de dicho correo y el lugar donde conducen los enlaces dañinos (clic para agrandar):

Como puede verse los dos primeros enlaces conducen al sitio: http://www.nba.com/[ELIMINADO]?dest=http://www.ff-ybb[ELIMINADO]//newpics/GH2011_Formulario__PDF.scr y los dos enlace inferiores conducen a http://log[ELIMINADO].com/log?srvc=ndbvj&goto=http://www.fratelli[ELIMINADO].it/GH2011_Formulario__PDF.scr.

Es fácil constatar que se trata de sitios en donde se ha abusado de una vulnerabilidad de redirección no validada que permite enviar al usuario a la descarga de un archivo ejecutable .SCR dañino. Incluso en el primer caso el sitio abusado es efectivamente NBA.COM. Como cualquier redirección, es sumamente fácil de utilizar de la siguiente manera:
http://www.nba.com/[SCRIPT_VULNERABLE]?dest=http://www.segu-info.com.ar

Según el informe de VirusTotal, al momento de escribir este reporte, muy pocos antivirus detectaban la amenaza que es un troyano del tipo downloader empaquetado con UPX y desarrollado en Delphi y que descarga un troyano bancario desde http://icomiarrg.[ELIMINADO]interface.net/labora.php (un script que al parecer ya no existe).

!Gracias A. por la denuncia original!

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!