Campaña de phishing contra usuarios del Poder Judicial en el Perú

Nos acaban de informar que está llegando una campaña de phishing, bastante elaborada, contra el público en general. Es un mensaje de correo como el siguiente

pishing_03.07.2013_pj_mailEn primera impresión el remitente es no-reply @ poderjudicial.pe sin embargo el origen real del mensaje es root @ vps.robienelmostro.com. Si la víctima hace click en la opción de descarga, será reenviado a  http://demanda.poderjudicial.pe.logisticaelectronica.pw/notificacion/denuncia/captura/amVubmlmZXJfYXlsbG9uQGhvdG1haWwuY29tDQo=
que corresponde a la IP 107.6.41.118, que es un segmento destinado a Canadá. De momento la página destino ya ha sido declarada como maliciosa por Mozilla:

pishing_03.07.2013_pj_paginaSi se elude la advertencia, el archivo descargado, al momento de publicar esta nota, es un archivo llamado “Denuncia”, tipo “bin” y con 0 bytes de longitud, sin embargo se recomienda difundir el incidente entre sus usuarios para evitar futuros ataques similares.

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: [ofuscado]; spf=none (sender IP is 67.207.208.213) smtp.mailfrom=root@vps.robienelmostro.com; dkim=none header.d=poderjudicial.pe; x-hmca=none header.id=no-reply@poderjudicial.pe
X-SID-PRA: no-reply@poderjudicial.pe
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTndWmTzLXwc/ELgTCmNOZd6blJieK72/WzKhDEMZBg61kt/inAcNqS8hIpKEf24J65nEKuZldhqmkED9DjDkhNLnVF5avPPli2o15VV0rvet1A1KdwBiF6d5Nerz59doM0xSBjiS5GcYr1xcfeQ8mu+c61tGvnbGCs=
Received: from vps.robienelmostro.com ([67.207.208.213]) by [ofuscado] with Microsoft SMTPSVC(6.0.3790.4900);
Tue, 2 Jul 2013 16:11:28 -0700
Received: from vps.robienelmostro.com (localhost.localdomain [127.0.0.1])
by vps.robienelmostro.com (8.14.3/8.14.3/Debian-9.4) with ESMTP id r62MYlbw005197
for <[ofuscado]>; Tue, 2 Jul 2013 18:34:47 -0400
Received: (from root@localhost)
by vps.robienelmostro.com (8.14.3/8.14.3/Submit) id r62MYlHG005196;
Tue, 2 Jul 2013 18:34:47 -0400
Date: Tue, 2 Jul 2013 18:34:47 -0400
Message-Id: <201307022234.r62MYlHG005196@vps.robienelmostro.com>
content-type: text/html
Subject: =?utf-8?B?4pyJRGVudW5jaWE==?=
From: Poder Judicial <no-reply@poderjudicial.pe>
To: [ofuscado]
Return-Path: root@vps.robienelmostro.com
X-OriginalArrivalTime: 02 Jul 2013 23:11:28.0331 (UTC) FILETIME=[7B46D1B0:01CE7779]

Finalmente, hicimos una búsqueda y pudimos comprobar que el número IP del servidor está involucrado en otras actividades hostiles, según se muestra aquí

Advertisements

2 thoughts on “Campaña de phishing contra usuarios del Poder Judicial en el Perú

  1. Gracias por informar, tuve este problema y me asusté mucho pense q era real, felizmente cuando le di descargar me envió a una pagina de error 404

    • Gracias a tí Adriana por visitarnos. Si recibes mensajes similares, avísale al Oficial de Seguridad de tu trabajo y si gustas escríbenos a incidentes [arroba] taapaq.pe csirtpe [arroba] hotmail.com para investigar el incidente y publicarlo manteniendo la reserva del caso.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s