29 dic 2011

Correo falso de Banco Galicia trae troyano bancario y regresan las Fotomultas

En vísperas de fin de año y del feriado bancario en Argentina, recibimos muchas denuncias de un correo falso que dice provenir del Banco Galicia (Argentina) con el pretexto de un "Dinero acreditado en su cuenta".
El engaño pretende que la víctima siga alguno de los cuatro enlaces maliciosos del correo para confirmar el depósito.

La treta de ingeniería social apela a la codicia y/o curiosidad de la víctima; pero obtendrá como resultado la descarga de un troyano bancario descargado de alguno de los dos sitios abusados de los enlaces http://arcadeium.com/[ELIMINADO]/comprobante.exe, http://www.ihp-espoir.be/[ELIMINADO]/comprobante.exe y http://www.nba.com/[ELIMINADO]?dest=http://www.muelleran[ELIMINADO].com/touren/multa-fotografica.exe que descargan el archivo Comprobante.exe, un malware detectado por 18 de 43 antivirus según el informe de VirusTotal.

Como puede verse nuevamente se está haciendo uso de enlaces al sitio de la NBA que, como ya informamos, tienen una vulnerabilidad de redireccion abierta.

Este archivo es un troyano del tipo downloader que descarga otro troyano bancario desde http://www.kf[ELIMINADO].fi/web/mittimillan/calendar/Flashinfo.exe o http://jupiterprostho[ELIMINADO].com/hello/Flashinfo.exe o http://www.la-clo[ELIMINADO]-electrique.fr/Flashinfo.exe (reporte de VT), desarrollado en Delphi, con un tamaño de 2MB y que afecta a los siguientes bancos argentinos: Macro, ITAU, StandarBank, Santander Río, COMAFI y Patagonia.

Vuelven las FotoMultas

También hemos recibido denuncias del mismo correo falso de las Fotomultas del cual dimos cuenta a principios de mes con su analisis y en octubre cuando aparecieron y tomaron estado publico incluso en los diarios por la cantidad de gente que lo recibió.

Se puede observar que el correo posee tres enlaces maliciosos a sitios abusados que sufren de vulnerabilidad de redireccionamiento a sitios externos. En todos los casos el malware que se descarga es un archivo multa-fotografica.exe que es el mismo binario del caso anterior según se ve en VT.

Lo anterior muestra que es el mismo delincuente quién está detrás de ambos engaños para apropiarse de datos bancarios ajenos.

Tengan cuidado con los correos. Los delincuentes quieren pagarse las vacaciones con dinero ajeno, ¡el suyo!

Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!