jueves, 14 de junio de 2012

Campaña vírica suplantando a CORREOS.ES


Se ha detectado un ataque masivo de SPAM contra usuarios de España suplantando la entidad de paquetería postal española correos.es.

Este envio masivo de correos fraudulentos se esta produciendo bajo la dirección de mail falsa subscribe_xxx@correos.es

Los mails están escritos en perfecto castellano e informan a los usuarios que han recibido un supuesto envío de un paquete postal a su nombre y que procedan a retirarlo de las oficinas postales  bajo penalización de cierta cantidad de dinero por concepto de almacenaje.



En estos correos aparece un enlace fraudulento que se indica al usuario que acceda a él para informarse sobre el envío.

Si el usuario intenta acceder a dicho enlace su máquina será comprometida por un troyano. Debido a que dicho enlace le redirigirá a una pagina donde esta instalado el kit de infección de origen ruso Blackhole exploit kit  que al visitarlo descargara en su máquina un binario malicioso.

La dirección donde se encuentra instalada la infraestructura de propagación del troyano es la siguiente:

hXXp://niceofficecomtristate.info/main.php?page=37c6560ac49c5579

Este dominio niceofficecomtristate.info esta alojado en la IP 94.185.81.123 perteneciente al proveedor Netrouting Sweden.

Se puede observar la pantalla de acceso al panel de control del kit Blackhole.





Este kit descargara el troyano empleando un conjunto de exploits que aprovechara las versiones vulnerables de las aplicaciones Flash , PDF , JAVA que tenga instalado el usuario en su máquina para lograr la infección del equipo y troyanizarlo.

Algunos de los vectores de infección son:

hXXp://niceofficecomtristate.info/Set.jar  à Para JAVA
hXXp://niceofficecomtristate.info/data/ap2.php à Para PDF
hXXp://niceofficecomtristate.info/data/ap1.php à Para PDF


Proximamente se realizara un estudio más amplio con el análisis del troyano que inyecta en los equipos infectados.

Lo que si esta claro es la intencionalidad de los criminales de infectar solo a usuarios de España suplantando a CORREOS lo que indica que intentan capturar el máximo número de usuarios españoles infectados como victimas de sus próximas campañas de fraude.

Lo más curioso de todo es que toda la infraestructura de infección esta alojadas en páginas del Hosting de Portugal PT-ALMOUROLTEC

inetnum:        109.71.40.0 - 109.71.40.255
netname:        PT-ALMOUROLTEC
descr:          ALMOUROLTEC - Servicos de Informatica e Internet Lda

La mayoría de las  direcciones localizadas que aparecían en estos correos fraudulentos están alojadas en este proveedor:

Ejemplos de estos enlaces de descarga del troyano son:

hXXp://transforme.com.pt/correos.es.html
hXXp://madhouse.pt/correos.es.html
hXXp://webgeneration.net/correos.es.html
hXXp://pedroalves.net/correos.es.html
hXXp://qis.pt/correos.es.html
hXXp://t4arquitectos.com/correos.es.html


Lo cual indica que quizás también haya sido comprometido por los criminales

1 comentario:

  1. Buenos días.

    Gracias por tu información, me ha sido de gran ayuda, pero tengo otra pregunta.

    Tanto mi dirección como las otras 3 ó 4 que aparecian en el para son de yahoo.es

    El que hayan extraido mi dirección de estos servidores de Portugal, implica que han podido acceder también a datos de mi cuenta (Password), o solo pueden acceder a un listado de direcciones?

    Un saludo.

    ResponderEliminar

Nota: solo los miembros de este blog pueden publicar comentarios.