29 mar 2016

Phishing de Adobe ID en documento PDF adjunto

Hace pocos días recibimos una denuncia respecto de este correo que vemos a continuación. Al receptor le pareció extraño y consultó al remitente por teléfono quien le confirmó que no había enviado ese correo (una buena precaución).
.
Tal como se puede ver el correo viene con un archivo adjunto Contract.PDF.

Además de tratarse de un documento no solicitado ni habitual para quien lo recibió, se observa una redacción defectuosa, aparentemente mal redactado o resultado de una traducción automática.

En el texto del correo ya se advierte que se solicitarán credenciales para acceder al documento supuestamente cifrado.

Tras verificar el carácter aparentemente benigno del archivo PDF adjunto vemos su contenido:
El PDF es una simulación de un documento supuestamente cifrado y que con el artilugio de una supuesta transparencia del contenido invita a ser abierto.

Un análisis más profundo revela que ese documento contiene una redirección a esta URL: http://www.voss[ELIMINADO]-training.net/wp-content/plugins/login.html

Se trata de una web con WordPress que fue abusada (por fallas de seguridad muy comunes), y donde plantaron esta página falsa para sustraer al usuario incauto su credencial de Adobe ID, en caso que poseyera una.
No es la primera vez que vemos correos phishing utilizando documentos que redirigen a la pagina web que imita alguna institución para robo de credenciales, pero con formato PDF no habíamos visto.

En busca de antecedentes encontramos uno de hace pocos meses, un caso muy similar que es relatado en este blog (en inglés).

Le recordamos al lector ser cuidadoso con el correo y mensajes que recibe, no abrir nunca adjuntos o enlaces no solicitados ni aun de conocidos. Siempre verificar antes de que se trata.

Raúl de la redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!