El enlace del correo dice http://www.bradescoseguranca.com.br/default.asp?pag=html/content/seguranca pero en realidad dirige a http://202.[ELIMINADO].235/images/modulo_atualizacao.asp? Ese archivo ASP regirige a su vez a la descarga del malware: http://88.33.250.156/[ELIMINADO]modulo_atualizacao.exe . El usuario que caiga en la trampa verá así la descarga:
El malware, un troyano bancario, es detectado por 10 de 42 antivirus según el reporte de VirusTotal luego de reportarles el archivo malicioso. Desde Segu-Info hemos reportado también el caso en PhishTank que ya es catalogado como phishing y también a los dueños del sitio web italiano donde, abusando de fallas de seguridad, los delincuentes instalaron el archivo malicioso.
Actualización 15:00: hemos recibido otro caso similar de un correo en portugués, que hace referencia a un comprobante del Banco Santander. El supuesto comprobante Comprovante20-12.exe es un troyano downloader, descargado desde http://webmail.fcmortgage[ELIMINADO].com/asas/view.asp".
Este troyano descarga otro troyano del tipo bancario desde http://www.nails[ELIMINADO].com/images/xaxa1.gif. La información robada por el troyano es almacenada en archivos de texto en http://www.brega[ELIMINADO].com/xx2/.
Raúl de la Redacción de Segu-Info
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!