Falsas multas de tránsito propagan malware y utilizan el popular sitio Wolfram Alpha
Gracias a la denuncia de varios usuarios en el día de la fecha podemos confirmar que el engaño de las multas de tránsito falsas nuevamente se ha transformado en una epidemia en Argentina.
Al igual que los casos anteriores, se envía un correo electrónico supuestamente desde la dirección "[email protected]", la cual es falsa y nada tiene que ver con un sitio gubernamental argentino. El correo es el siguiente (errores incluidos):
Estos enlaces en realidad aprovechan vulnerabilidades de redirección y que permiten enviar al usuario a otro sitio desde donde realmente se descarga el malware:
Con respecto al malware descargado, los mismos infectan al usuario y posteriormente descargan otro troyano bancarios desde
http://www.spax[ELIMINADO].de/impressum/logitech.exe, http://www.senzabarr[ELIMINADO].info/photo_gallery/logitech.exe y http://www.bambous[ELIMINADO].com/animages/logitech.exe. Ambos malware son detectados por una muy baja tasa de antivirus.
Los bancos argentinos afectados son Santander Rio, Patagonia, Standard Bank, Macro, ITAU y, finalmente el sitio de Hotmail.
Actualización: nos informa Dr Apache Labs (@bernal3r) que el troyano envía la información a los sitios http://www.dysa[ELIMINADO].com/2009/h.php y http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/media/h.php
Además, almacena los datos robados en archivos de texto http://www.dysa[ELIMINADO].com/2009/hoho.txt, http://www.dysa[ELIMINADO].com/2009/xiu.txt, http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/media/hoho.txt, http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/media/xiu.txt
Según estos archivos se puede verificar que al menos 3700 personas fueron infectas y que más de 500 ingresaron sus datos personales.
Cristian de la Redacción de Segu-Info
Al igual que los casos anteriores, se envía un correo electrónico supuestamente desde la dirección "[email protected]", la cual es falsa y nada tiene que ver con un sitio gubernamental argentino. El correo es el siguiente (errores incluidos):
Date: Tue, 14 Feb 2012 22:42:18 -0500Cada uno de las supuestas fotos son enlaces que llevan al usuario a sitios que descargan archivos ejecutables (Informe_Deuda_PDF.exe) dañinos.
Subject: Informe de deudas pendientes
From: [email protected]
Miercoles 15 de Febrero del 2012, Republica Argentina
Estimado contribuyente:
Detectamos en nuestro Sistema Integrado de Multas de transito (ATM) infracciones cometidas por su vehiculo
Si usted no regulariza las infracciones correspondientes en los proximos 30 dias a partir de la fecha de emision de este comunicado, su vehiculo sera informado como deudor y usted pasara a formar parte del Veraz, conforme Ley n 19.216 de 1/12/2011
La inclusion de su vehiculo en el Veraz le impedira la venta regular de su vehiculo en la Republica Argentina
Infracciones al dia 14/02/2012
Girar a izquierda/derecha en lugar prohibido (ENLACE 1) - No respetar Senda Peatonal/Paso Peaton (ENLACE 2) - Exceso Velocidad hasta 20Km/h (ENLACE 3)
El propietario del vehiculo queda notificado por este medio. Todas aquellas actas labradas con anterioridad a las fechas especificadas seguiran bajo la orbita de la Unidad Administrativa.
Estos enlaces en realidad aprovechan vulnerabilidades de redirección y que permiten enviar al usuario a otro sitio desde donde realmente se descarga el malware:
- ENLACE 1: http://www.wolframalpha.com/input/[ELIMINADO].jsp?link=/sponsor-ads/every-smart-device.png&type=ad&url=http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/expo/Informe_Deuda_PDF.exe
- ENLACE 2: http://www.philipmorrisusa.com/[ELIMINADO].ashx?url=http://www.orchma[ELIMINADO].be/para/photo/Informe_Deuda_PDF.exe
- ENLACE 3: http://www.wolframalpha.com/input/[ELIMINADO].jsp?link=/sponsor-ads/every-smart-device.png&type=ad&url=http://www.les-maisons-de-katy-et-[ELIMINADO].com/wwwlmkj/javascript/Informe_Deuda_PDF.exe
Con respecto al malware descargado, los mismos infectan al usuario y posteriormente descargan otro troyano bancarios desde
http://www.spax[ELIMINADO].de/impressum/logitech.exe, http://www.senzabarr[ELIMINADO].info/photo_gallery/logitech.exe y http://www.bambous[ELIMINADO].com/animages/logitech.exe. Ambos malware son detectados por una muy baja tasa de antivirus.
Los bancos argentinos afectados son Santander Rio, Patagonia, Standard Bank, Macro, ITAU y, finalmente el sitio de Hotmail.
Actualización: nos informa Dr Apache Labs (@bernal3r) que el troyano envía la información a los sitios http://www.dysa[ELIMINADO].com/2009/h.php y http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/media/h.php
Además, almacena los datos robados en archivos de texto http://www.dysa[ELIMINADO].com/2009/hoho.txt, http://www.dysa[ELIMINADO].com/2009/xiu.txt, http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/media/hoho.txt, http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/media/xiu.txt
Según estos archivos se puede verificar que al menos 3700 personas fueron infectas y que más de 500 ingresaron sus datos personales.
Cristian de la Redacción de Segu-Info
como se llaman los troyanos que descarga? sin querer aprete el primer enlace y se me abrio otra ventana pero, me aparecion un cartel como que no tiene conexion, me salve del troyano o ya esta en mi maquina?
ResponderBorrarahora estoy corriendo el avast.....
espero tu respuesta, gracias
ELIO
[email protected]
Anonimo, si te apareció eso o aunque lo hayas descargado pero no ejecutaste el EXE, no pasó nada.
ResponderBorrarCristian
Hoy me llego ese mail y la verdad me preocupe, pense que era verdad, aunque sospeche porque el remitente era cualquiera. Por eso consulte con uds. Gracias por suerte no ejecute nada,pero que bronca que jueguen asi con nosotros no?
ResponderBorrarA mi me llego con la imagen de la bandera de venezuela y me pareció real que casi le doy clic a los enlaces. Dude solo porque no tengo auto xD
ResponderBorrarL3TRC, si tienes el correo puedes enviarlo a [email protected] o a www.segu-info.com.ar/denuncia
ResponderBorrarCristian