Correos maliciosos desde cuentas hackeadas: pedidos de mercaderia

(Tomado segu-info.com.ar) Estamos recibiendo denuncias desde hace más de 2 semanas por correos falsos enviados desde cuentas de correo reales que han sido vulneradas (usuario y contraseña robados) para enviarlos.

Estos correos malspam esgrimen distintas temáticas administrativas o comerciales que por ser bastante poco específicas inducen al receptor a intentar averiguar más, abriendo alguno de los enlaces.

Estos son tres ejemplos recibido:

1. Archivos de pedido de mercaderia y condiciones de compra

2. Archivos de pagos y detalles de pedidos de compra

3. Archivos de pedidos y catálogos

En todos los casos estos correos descargan, de algún sitio abusado y vulnerado, un archivo EXE o ZIP que es un malware del tipo Downloader. 
En el ejemplo mas reciente de hoy, el malware viene al descargar Cotizar_DOC_xls.zip que contiene Cotizar_DOC_xls.exe el que tuvo baja tasa de detección inicialmente según constatamos en VirusTotal.

Luego de instalarse, procede a la descarga de un troyano bancario windowswipe.exe (*) que roba contraseñas y otros datos sensibles y los envía a un sitio web de donde lo obtendrá luego el delincuente.

En muchos antispam/antivirus de correo se ha verificado que fallan al no filtrar en casi ningún caso este tipo de correos. Pasan sin ser filtrados. Los motivos están a la vista:

  • remitentes reales de organizaciones sin problemas de mala reputación
  • correos sencillos con lenguaje comercial,
  • enlaces a sitios sin problema de reputación, con vulnerabilidad de redirección
  • sitios que alojan malware, sin problema de reputación y vulnerados recientemente.

Ante la baja tasa de detección del malware que se descarga en estos casos, es importante recordar una vez más la importancia de no abrir enlaces o adjuntos no solicitados. Al fallar en esto, se realiza la única acción que necesita el delincuente para lograr su objetivo de robo de información bancaria.

En organizaciones donde han estado llegando estos correos se ha observado que hay aún muchos usuarios con la guardia baja. Es importante reforzar las tareas de concientización. Y son de utilidad usar los mismos ejemplos que se detectan.

Actualización 22hs: el troyano (*) afecta al usuario si ingresa a alguno de los siguientes bancos de Argentina:

  • Standard Bank
  • Macro
  • Banco de Tucumán
  • Supervielle

Luego envía la información robada a alguno de estos dominios:

  • sundby-friskole.dk
  • lysat.com
  • pittsburghgospelchoir.org
  • fitandfabuloustraining.com
  • side-power.com
  • orthoarkansas.com
  • politea.nl

Gracias @Dkavalanche por el análisis del troyano!

Raúl de la Redacción de Segu-Info

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s