Vulnerabilidad en Delicious permite propagar malware

(Tomado de segu-info.com.ar) En las últimas en Segu-Info horas hemos recibido varias denuncias que vinculan al conocido sitio Delicious a la propagación de malware:

Se trata de un correo que es propagado por spam:

Le pedimos que revise los siguientes datos: NOMBRE y EMPRESA, porque algo no esta bien y no podemos cargarlo en nuestro sistema para poder liberar el pago.

Le rogamos que verifique sus datos en la siguiente planilla para que la facturacion sea correcta.

Tiene disponible nuestro telefono para cualquier tipo de consulta que desee realizar 0800-606-0106

Atentamente, Delfina Taborda – Departamento de compras MSM Alimentos

Como es obvio ambos enlaces conducen a la descarga de malware pero lo curioso es que efectivamente uno de los enlaces apunta a una redirección abierta desde Delicious, lo cual podría hacer que sea más confiable para el usuario y también se evite la detección del correo por parte de los filtros antispam:

Ambos archivos comprimidos son un malware con una tasa de detección muy baja (3 de 44) por parte de los antivirus.
Desde Segu-Info, ya nos hemos comunicado con Delicious para que verifiquen si se está abusando de su plataforma para este tipo de acciones.

Actualización 1: el malware descargado hace referencia a los siguientes sitios web:

Además, se utiliza un PHP para realizar los envíos de spam a través de un servidor comprometido: http://www.saltours-%5BELIMINADO%5D.com/plan-your-holidays/__%5BELIMINADO%5D__UPLOAD__SpE__inc1.php

Finalmente, los bancos argentinos que son afectados por el troyano son Macro, Supervielle, Banco de Tucumán, Standar Bank y Credicoop.

Actualización 2: todos los correos falsos provienen de direcciones de correos verdaderas que aparentemente han sido vulnerados robando el usuario y contraseña a sus verdaderos dueños. De esta manera los delincuentes tienen acceso a un sinfin de oportunidades para seguir infectando personas.

A continuación una lista de empresas argentinas que hasta el momento hemos podido constatar que se han visto afectadas por esta modalidad:

  • @bravoenergy.com
  • @aparthotelcavis.com.ar
  • @lojack.com.ar
  • @bombicino.com.ar
  • @ecosan.com.ar
  • @uboldibiasoli.com.ar
  • @lascercanias.com.ar
  • @grupodepetris.com.ar
  • @atenta.com.ar
  • @iluminaciontheus.com
  • @villanueva.com.ar
  • @roias.com.ar
  • @eym-electromedicina.com.ar
  • @electropuerto.com.ar

Si Ud. recibio correo de algunas de ellas, verifique cualquier tipo de enlace antes de abrirlo.

¡Gracias a Ernesto por los datos proporcionados!

Cristian de la Redacción de Segu-Info

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s