Correos propagan malware bancario, bancos de Brasil
Con un estilo que se repite hace varios años, recibimos nuevamente denuncias de correos phishing que supuestamente vienen de bancos brasileros como este de Bradesco. La técnica de engaño es la misma de siempre, una supuesta actualización del módulo de seguridad del banco:
El enlace del correo dice http://www.bradescoseguranca.com.br/default.asp?pag=html/content/seguranca pero en realidad dirige a http://202.[ELIMINADO].235/images/modulo_atualizacao.asp? Ese archivo ASP regirige a su vez a la descarga del malware: http://88.33.250.156/[ELIMINADO]modulo_atualizacao.exe . El usuario que caiga en la trampa verá así la descarga:
El malware, un troyano bancario, es detectado por 10 de 42 antivirus según el reporte de VirusTotal luego de reportarles el archivo malicioso. Desde Segu-Info hemos reportado también el caso en PhishTank que ya es catalogado como phishing y también a los dueños del sitio web italiano donde, abusando de fallas de seguridad, los delincuentes instalaron el archivo malicioso.
Actualización 15:00: hemos recibido otro caso similar de un correo en portugués, que hace referencia a un comprobante del Banco Santander. El supuesto comprobante Comprovante20-12.exe es un troyano downloader, descargado desde http://webmail.fcmortgage[ELIMINADO].com/asas/view.asp".
Este troyano descarga otro troyano del tipo bancario desde http://www.nails[ELIMINADO].com/images/xaxa1.gif. La información robada por el troyano es almacenada en archivos de texto en http://www.brega[ELIMINADO].com/xx2/.
Raúl de la Redacción de Segu-Info
El enlace del correo dice http://www.bradescoseguranca.com.br/default.asp?pag=html/content/seguranca pero en realidad dirige a http://202.[ELIMINADO].235/images/modulo_atualizacao.asp? Ese archivo ASP regirige a su vez a la descarga del malware: http://88.33.250.156/[ELIMINADO]modulo_atualizacao.exe . El usuario que caiga en la trampa verá así la descarga:
El malware, un troyano bancario, es detectado por 10 de 42 antivirus según el reporte de VirusTotal luego de reportarles el archivo malicioso. Desde Segu-Info hemos reportado también el caso en PhishTank que ya es catalogado como phishing y también a los dueños del sitio web italiano donde, abusando de fallas de seguridad, los delincuentes instalaron el archivo malicioso.
Actualización 15:00: hemos recibido otro caso similar de un correo en portugués, que hace referencia a un comprobante del Banco Santander. El supuesto comprobante Comprovante20-12.exe es un troyano downloader, descargado desde http://webmail.fcmortgage[ELIMINADO].com/asas/view.asp".
Este troyano descarga otro troyano del tipo bancario desde http://www.nails[ELIMINADO].com/images/xaxa1.gif. La información robada por el troyano es almacenada en archivos de texto en http://www.brega[ELIMINADO].com/xx2/.
Raúl de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!