15 feb 2012

Falsas multas de tránsito propagan malware y utilizan el popular sitio Wolfram Alpha

Gracias a la denuncia de varios usuarios en el día de la fecha podemos confirmar que el engaño de las multas de tránsito falsas nuevamente se ha transformado en una epidemia en Argentina.

Al igual que los casos anteriores, se envía un correo electrónico supuestamente desde la dirección "[email protected]", la cual es falsa y nada tiene que ver con un sitio gubernamental argentino. El correo es el siguiente (errores incluidos):
Date: Tue, 14 Feb 2012 22:42:18 -0500
Subject: Informe de deudas pendientes
From: [email protected]

Miercoles 15 de Febrero del 2012, Republica Argentina
Estimado contribuyente:

Detectamos en nuestro Sistema Integrado de Multas de transito (ATM) infracciones cometidas por su vehiculo
Si usted no regulariza las infracciones correspondientes en los proximos 30 dias a partir de la fecha de emision de este comunicado, su vehiculo sera informado como deudor y usted pasara a formar parte del Veraz, conforme Ley n 19.216 de 1/12/2011

La inclusion de su vehiculo en el Veraz le impedira la venta regular de su vehiculo en la Republica Argentina
Infracciones al dia 14/02/2012

Girar a izquierda/derecha en lugar prohibido (ENLACE 1) - No respetar Senda Peatonal/Paso Peaton (ENLACE 2) - Exceso Velocidad hasta 20Km/h (ENLACE 3)

El propietario del vehiculo queda notificado por este medio. Todas aquellas actas labradas con anterioridad a las fechas especificadas seguiran bajo la orbita de la Unidad Administrativa.
Cada uno de las supuestas fotos son enlaces que llevan al usuario a sitios que descargan archivos ejecutables (Informe_Deuda_PDF.exe) dañinos.
Estos enlaces en realidad aprovechan vulnerabilidades de redirección y que permiten enviar al usuario a otro sitio desde donde realmente se descarga el malware:
  • ENLACE 1: http://www.wolframalpha.com/input/[ELIMINADO].jsp?link=/sponsor-ads/every-smart-device.png&type=ad&url=http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/expo/Informe_Deuda_PDF.exe
  • ENLACE 2: http://www.philipmorrisusa.com/[ELIMINADO].ashx?url=http://www.orchma[ELIMINADO].be/para/photo/Informe_Deuda_PDF.exe
  • ENLACE 3: http://www.wolframalpha.com/input/[ELIMINADO].jsp?link=/sponsor-ads/every-smart-device.png&type=ad&url=http://www.les-maisons-de-katy-et-[ELIMINADO].com/wwwlmkj/javascript/Informe_Deuda_PDF.exe
Como puede verse, el primer y tercer enlace se aprovechan de la vulnerabilidad de redirección en el popular buscador matemático Wolfram Alpha. Además, el segundo enlace aprovecha la misma vulnerabilidad en el sitio de Philip Morris.

Con respecto al malware descargado, los mismos infectan al usuario y posteriormente descargan otro troyano bancarios desde
http://www.spax[ELIMINADO].de/impressum/logitech.exe, http://www.senzabarr[ELIMINADO].info/photo_gallery/logitech.exe y http://www.bambous[ELIMINADO].com/animages/logitech.exe. Ambos malware son detectados por una muy baja tasa de antivirus.

Los bancos argentinos afectados son Santander Rio, Patagonia, Standard Bank, Macro, ITAU y, finalmente el sitio de Hotmail.

Actualización: nos informa Dr Apache Labs (@bernal3r) que el troyano envía la información a los sitios http://www.dysa[ELIMINADO].com/2009/h.php y http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/media/h.php

Además, almacena los datos robados en archivos de texto http://www.dysa[ELIMINADO].com/2009/hoho.txt, http://www.dysa[ELIMINADO].com/2009/xiu.txt, http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/media/hoho.txt, http://www.c-[ELIMINADO].com/contenidos/prod_cult/escuelas/ct/media/xiu.txt

Según estos archivos se puede verificar que al menos 3700 personas fueron infectas y que más de 500 ingresaron sus datos personales.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

5 comentarios:

  1. como se llaman los troyanos que descarga? sin querer aprete el primer enlace y se me abrio otra ventana pero, me aparecion un cartel como que no tiene conexion, me salve del troyano o ya esta en mi maquina?
    ahora estoy corriendo el avast.....
    espero tu respuesta, gracias
    ELIO
    [email protected]

    ResponderBorrar
  2. Anonimo, si te apareció eso o aunque lo hayas descargado pero no ejecutaste el EXE, no pasó nada.

    Cristian

    ResponderBorrar
  3. Hoy me llego ese mail y la verdad me preocupe, pense que era verdad, aunque sospeche porque el remitente era cualquiera. Por eso consulte con uds. Gracias por suerte no ejecute nada,pero que bronca que jueguen asi con nosotros no?

    ResponderBorrar
  4. A mi me llego con la imagen de la bandera de venezuela y me pareció real que casi le doy clic a los enlaces. Dude solo porque no tengo auto xD

    ResponderBorrar
  5. L3TRC, si tienes el correo puedes enviarlo a [email protected] o a www.segu-info.com.ar/denuncia

    Cristian

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!