Correos maliciosos desde cuentas hackeadas: pedidos de mercaderia
Estamos recibiendo denuncias desde hace más de 2 semanas por correos falsos enviados desde cuentas de correo reales que han sido vulneradas (usuario y contraseña robados) para enviarlos.
Estos correos malspam esgrimen distintas temáticas administrativas o comerciales que por ser bastante poco específicas inducen al receptor a intentar averiguar más, abriendo alguno de los enlaces.
Estos son tres ejemplos recibido:
1. Archivos de pedido de mercaderia y condiciones de compra
2. Archivos de pagos y detalles de pedidos de compra
3. Archivos de pedidos y catálogos
En todos los casos estos correos descargan, de algún sitio abusado y vulnerado, un archivo EXE o ZIP que es un malware del tipo Downloader.
En el ejemplo mas reciente de hoy, el malware viene al descargar Cotizar_DOC_xls.zip que contiene Cotizar_DOC_xls.exe el que tuvo baja tasa de detección inicialmente según constatamos en VirusTotal.
Luego de instalarse, procede a la descarga de un troyano bancario windowswipe.exe (*) que roba contraseñas y otros datos sensibles y los envía a un sitio web de donde lo obtendrá luego el delincuente.
En muchos antispam/antivirus de correo se ha verificado que fallan al no filtrar en casi ningún caso este tipo de correos. Pasan sin ser filtrados. Los motivos están a la vista:
En organizaciones donde han estado llegando estos correos se ha observado que hay aún muchos usuarios con la guardia baja. Es importante reforzar las tareas de concientización. Y son de utilidad usar los mismos ejemplos que se detectan.
Actualización 22hs: el troyano (*) afecta al usuario si ingresa a alguno de los siguientes bancos de Argentina:
Raúl de la Redacción de Segu-Info
Estos correos malspam esgrimen distintas temáticas administrativas o comerciales que por ser bastante poco específicas inducen al receptor a intentar averiguar más, abriendo alguno de los enlaces.
Estos son tres ejemplos recibido:
1. Archivos de pedido de mercaderia y condiciones de compra
En el ejemplo mas reciente de hoy, el malware viene al descargar Cotizar_DOC_xls.zip que contiene Cotizar_DOC_xls.exe el que tuvo baja tasa de detección inicialmente según constatamos en VirusTotal.
Luego de instalarse, procede a la descarga de un troyano bancario windowswipe.exe (*) que roba contraseñas y otros datos sensibles y los envía a un sitio web de donde lo obtendrá luego el delincuente.
En muchos antispam/antivirus de correo se ha verificado que fallan al no filtrar en casi ningún caso este tipo de correos. Pasan sin ser filtrados. Los motivos están a la vista:
- remitentes reales de organizaciones sin problemas de mala reputación
- correos sencillos con lenguaje comercial,
- enlaces a sitios sin problema de reputación, con vulnerabilidad de redirección
- sitios que alojan malware, sin problema de reputación y vulnerados recientemente.
En organizaciones donde han estado llegando estos correos se ha observado que hay aún muchos usuarios con la guardia baja. Es importante reforzar las tareas de concientización. Y son de utilidad usar los mismos ejemplos que se detectan.
Actualización 22hs: el troyano (*) afecta al usuario si ingresa a alguno de los siguientes bancos de Argentina:
- Standard Bank
- Macro
- Banco de Tucumán
- Supervielle
- sundby-friskole.dk
- lysat.com
- pittsburghgospelchoir.org
- fitandfabuloustraining.com
- side-power.com
- orthoarkansas.com
- politea.nl
Raúl de la Redacción de Segu-Info
Excelente articulo Raul! Ante la baja tasa de filtrado es fundamental tener a los usuarios concientizados y despiertos ante cualquier mail sospechoso.
ResponderBorrarAbrazo