Phishing genérico desde Ecuador y Nigeria

facebook-phishingHemos detectado un ataque phishing similar al perpetrado el día de ayer desde Honduras. Al parecer ambos incidentes son originados por cuentas vulneradas con contraseñas débiles. Aparece que el cliente Zimbra fue accedido desde un número IP cuyo rango está asignado a Nigeria.

En esta oportunidad el ataque llega desde un servidor lícito de correo (mail2.cne.gob.ec [190.152.71.85] ) y en particular de la cuenta juliotorres @ cne.gob.ec. El campo “Reply To” refiere a la misma cuenta de correo del ataque anterior: boxxkingz @ hotmail.com.

Sugerimos difundir entre sus usuarios y adicionalmente bloquear el envío de mensajes que tengan como destinatario esa dirección Hotmail.

A continuación les aduntamos la cabecera del phishing en mención:

Return-Path: <juliotorres@cne.gob.ec>
Received: from <protegido>.gob.pe ([unix socket])
by mail.<protegido>.gob.pe (Cyrus v2.2.12-Invoca-RPM-2.2.12-17.el4) with LMTPA;
Thu, 04 Jul 2013 09:32:43 -0500
X-Sieve: CMU Sieve 2.2
Received: from mailrelay.<protegido>.gob.pe ([<ip-protegido>]:49659 helo=<protegido>.gob.pe)
by <protegido>.gob.pe with esmtp (Exim 4.43)
id 1UukaR-0007hP-E4
for <protegido>@<protegido>.gob.pe; Thu, 04 Jul 2013 09:32:43 -0500
Received: from mail2.cne.gob.ec ([190.152.71.85]:53085)
by <protegido>.gob.pe with esmtp (Exim 4.63)
(envelope-from <juliotorres@cne.gob.ec>)
id 1UukaK-0001CQ-KU
for <protegido>@<protegido>.gob.pe; Thu, 04 Jul 2013 09:32:43 -0500
Received: from localhost (localhost [127.0.0.1])
by mail2.cne.gob.ec (Postfix) with ESMTP id AE36053FA0A4;
Thu,  4 Jul 2013 09:20:50 -0500 (ECT)
X-Virus-Scanned: amavisd-new at cne.gov.ec
Received: from mail2.cne.gob.ec ([127.0.0.1])
by localhost (mail2.cne.gob.ec [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id D6y-BAStzEvE; Thu,  4 Jul 2013 09:20:50 -0500 (ECT)
Received: from mail2.cne.gob.ec (unknown [192.168.1.12])
by mail2.cne.gob.ec (Postfix) with ESMTP id 9EAB353FA05F;
Thu,  4 Jul 2013 09:20:49 -0500 (ECT)
From: Webmail Quota <juliotorres@cne.gob.ec>
Reply-To: Webmail Quota <boxxkingz@hotmail.com>
Subject: INTENTO =?utf-8?B?UkVDSEFaQURPIeKAj+KAjw==?=
Message-ID: <42a5c733-ceb6-467b-b5a2-93cde6a29c7c@mail2.cne.gob.ec>
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
X-Originating-IP: [41.220.68.24]
X-Mailer: Zimbra 7.1.3_GA_3346 (zclient/7.1.3_GA_3346)
To: undisclosed-recipients:;
X-Spam-Score: 4.8 (++++)
X-Spam-Report: Spam detection software, running on the system “mailrelay2.<protegido>.gob.pe”, has
identified this incoming email as possible spam.  The original message
has been attached to this so you can view it (if it isn’t spam) or label
similar future email.  If you have any questions, see
the administrator of that system for details.
Content preview:  Estimado usuario Su contraseXXa caducarXX en 3 dXXas formulario
llenar y enviar de inmediato para validar su direcciXXn de e-mail. Nombre
de Usuario: ContraseXXa anterior: Nueva ContraseXXa: gracias administrador
del sistema […]
Content analysis details:   (4.8 points, 5.0 required)
pts rule name              description
—- ———————- ————————————————–
1.6 RCVD_IN_SBL            RBL: Received via a relay in Spamhaus SBL
[41.220.68.24 listed in zen.spamhaus.org]
2.1 SUBJ_ALL_CAPS          Subject is all capitals
-0.0 SPF_PASS               SPF: sender matches SPF record
1.0 BAYES_60               BODY: Bayesian spam probability is 60 to 80%
[score: 0.6032]
0.2 SARE_SUB_ENC_UTF8      Message uses character set often used in spam
X-<protegido>-MailScanner-Information: Please contact the ISP for more information
X-<protegido>-MailScanner-ID: 1UukaK-0001CQ-KU
X-<protegido>-MailScanner: Found to be clean
X-<protegido>-MailScanner-SpamCheck: spam, SpamAssassin (cached, score=4.779,
required 2.5, autolearn=disabled, BAYES_60 1.00, RCVD_IN_SBL 1.55,
SARE_SUB_ENC_UTF8 0.15, SPF_PASS -0.00, SUBJ_ALL_CAPS 2.08)
X-<protegido>-MailScanner-SpamScore: 4.78
X-<protegido>-MailScanner-From: juliotorres@cne.gob.ec
Date: Thu, 04 Jul 2013 09:32:43 -0500

Estimado usuario
Su contraseña caducará en 3 días formulario llenar y enviar de inmediato para validar su dirección de e-mail.
Nombre de Usuario: ……………..
Contraseña anterior: ……………..
Nueva Contraseña: …………….
gracias
administrador del sistema

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s