Seguridad Informática. De Brasil a Chile, pasando por Francia: correos falsos pretenden ser de Movistar

Por: CAMILO GUTIÉRREZ AMAYA

huella digital - De Brasil a Chile, pasando por Francia correos falsos pretenden ser de Movistar

¿Cuál sería tu reacción si a tu bandeja de entrada llega un correo electrónico enviado por un supuesto príncipe de Nigeria, informándote que quiere dejarte una jugosa herencia? Muy probablemente, y estoy seguro que así sería, eliminarías el correo sin pensarlo, pues claramente lo identificarías como un engaño y recordarías que se trata de la clásica estafa nigeriana. Ahora bien, si recibes un correo que dice venir de una reconocida empresa de telefonía móvil, ¿harías lo mismo que en el caso anterior?

Durante junio, en el Laboratorio de Investigación de ESET Latinoamérica, hemos recibido reportes de campañas de correo electrónico por parte de usuarios en Chile. En estos mensajes se les pide que descarguen un archivo supuestamente relacionado con una factura vencida de Movistar, operadora de telefonía móvil muy popular en Hispanoamérica y España.

En la siguiente imagen vemos un ejemplo de estos correos electrónicos, que llegaron a nuestro laboratorio por un reporte de Lockbits, partner de ESET en Chile:

huella digital - De Brasil a Chile, pasando por Francia correos falsos pretenden ser de Movistar

Los errores ortográficos y de sentido que hacen menos confiable el mensaje están a la vista: “contato” en vez de “contacto”, el cambio de “usted” a “tú” en la introducción, “movistar” con minúscula (¿crees que la propia marca lo escribiría así?), y al final, “Todos direchos reservados”.

Pero a pesar de que ya conocemos cuál es la característica de estos correos maliciosos, hay usuarios que aún caen en los engaños y deciden hacer clic en el enlace y descargar el archivo. La muestra que lo acompaña tiene un ícono que simula ser un documento PDF:

huella digital - De Brasil a Chile, pasando por Francia correos falsos pretenden ser de Movistar

Sin embargo, este archivo corresponde realmente a un ejecutable autoextraíble; una vez que el usuario le da doble clic, copia y ejecuta un nuevo archivo en una ubicación temporal del sistema con el nombre TopCar.exe.

huella digital - De Brasil a Chile, pasando por Francia correos falsos pretenden ser de Movistar

Este archivo extraído en la máquina del usuario corresponde a una variante de Win32/TrojanDownloader, por lo que como es de esperarse, descarga a la máquina un nuevo código malicioso, la amenaza que finalmente va a realizar las acciones maliciosas.

Este nuevo código malicioso, entre otras acciones, busca información del sistema y de su configuración para luego enviarla a una URL remota, cuya dirección IP aparece asociada a un servidor registrado en Francia:

huella digital - De Brasil a Chile, pasando por Francia correos falsos pretenden ser de Movistar

Al momento de hacer el envío de información, lo hace en un archivo cuya extensión es .php y además utiliza un user-agent muy similar al de un navegador web.

huella digital - De Brasil a Chile, pasando por Francia correos falsos pretenden ser de Movistar

¿Desde Brasil a Chile, pasando por Francia?

Como ya mencionamos, la amenaza envía la información robada a un servidor cuya dirección IP aparece registrada en Francia. Además, una de las cuestiones curiosas de esta amenaza la encontramos al analizar los strings que hay dentro de la muestra.

huella digital - De Brasil a Chile, pasando por Francia correos falsos pretenden ser de Movistar

A pesar de que se está propagando entre usuarios de Chile, y que la Ingeniería Social de la amenaza está en español, encontramos que muchas de las cadenas de caracteres de la amenaza se encuentran en portugués (¿recuerdas “contato” y “todos direchos reservados”? Ahora parecerían cobrar sentido…). Además, una vez que se ejecuta la amenaza, el sitio web al que contacta para descargar la amenaza se encuentra alojado en un servidor en Brasil:

huella digital - De Brasil a Chile, pasando por Francia correos falsos pretenden ser de Movistar

Si bien estos datos no son concluyentes, sí nos dan un indicio de cómo se están propagando las amenazas hoy en día en Latinoamérica: involucrando distintos países y hasta idiomas. También nos muestra que para los ciberdelincuentes no existen fronteras al momento de buscar afectar usuarios desprevenidos.

Esta simple campaña maliciosa que utiliza el correo electrónico es la muestra de cómo los cibercriminales continúan utilizando viejas técnicas de propagación con el fin de infectar tantos sistemas como les sea posible. De hecho, tal como lo mencionamos a finales del año pasado en nuestro informe de Tendencias de seguridad informática para 2016, la evolución del cibercrimen continúa amenazando a los usuarios, y las campañas de propagación de malware han tomado escalas mayores y con diferentes niveles de eficiencia.

Créditos imagen: ©Adrian/Flickr

Fuente: welivesecurity

http://www.welivesecurity.com/la-es/2016/06/24/brasil-chile-francia-correos-movistar/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en “Soluciones de seguridad para préstamos de libros utilizando la huella digital”

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
https://inbiosys.wordpress.com/

E-mail: inbiosys@gmail.com
PBX: (57)(4) 583 13 31
Celular: 312 782 60 21

INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 81 No. 43 – 72 Oficina 1109
Medellín Colombia

Para contactarnos por favor llenar el siguiente formulario


INBIOSYS - Ingeniería y Sistemas Biométricos

0 Responses to “Seguridad Informática. De Brasil a Chile, pasando por Francia: correos falsos pretenden ser de Movistar”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




junio 2016
L M X J V S D
« May   Jul »
 12345
6789101112
13141516171819
20212223242526
27282930  

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 53 seguidores

Categorías

Comentarios recientes

josefina nidia avant… on Seguridad Informática. Cerca d…
Claudia on Seguridad Informática. Sony la…

Actualizaciones de Twitter